Sergej Khackimullin - Fotolia
Suricata, bientôt IPS recommandé pour les opérateurs d’importance vitale ?
L’Anssi vient de rejoindre l’OISF pour supporter le développement de Suricata, un système de prévention/détection des intrusions issu du célèbre Snort.
L’OISF – Open Information Security Foundation – vient d’annoncer que l’Agence nationale pour la sécurité des systèmes d’information (Anssi) vient de la rejoindre. Cette fondation a été créée en 2009 par le ministère américain de l’Intérieur. Dans un communiqué, L’Anssi expose clairement ses intentions : soutenir le développement de Suricata et ainsi « marquer une nouvelle fois l’engagement de la France dans la cybersécurité de ses infrastructures critiques ».
C’est en juillet 2010 que l’OISF a dévoilé la version 1.0 de Suricata, un système de prévention/détection d’intrusions et de supervision de la sécurité réseau. Celui-ci remplace progressivement le très célèbre Snort dans l’ensemble des systèmes de l’administration américaine.
Cité dans le communiqué de l’OISF, Richard Stiennon, analyste en chef chez IT-Harvest, osait alors la comparaison avec Snort : «il vieillit et ne s’est pas adapté au paysage changeant [de la sécurité des réseaux].» Dans un e-mail, Matt Jonkman, président de l’OISF, soulignait de son côté que «nous n’avons pas attaqué Snort [...], notre racine collective. Mais nous devons aller de l’avant [...] nous n’avons pas vu d’innovation majeure [dans Snort].» Et de s’en prendre à la clarté de pensée de Martin Roesch, créateur de Snort : « je n’aurais jamais pensé qu’une personne saine d’esprit pourrait dire que le multi-threading n’est pas une tactique viable pour monter en puissance ». Le débat sur des approches opposées et leurs impacts sur les performances ou la compatibilité des règles, n’avait pas manqué d’être animé.
Un financement en question
Mais Matt Olney, chercheur chez celui qui s’appelait encore alors Sourcefire, bien avant d’être racheté par Cisco, s’interrogeait tout de même sur la pertinence du projet de l’OISF, financé par le contribuable américain à hauteur de près d’un million de dollars - alors «qu’ils ont échoué [...] à créer l’IDS/IPS de nouvelle génération.» De quoi clore les débats ? Non. Dans les colonnes de notre confrère CIO, Richard Stiennon pointait ce qu’il considérait comme une limite du modèle de développement de Snort : « Sourcefire contrôle la propriété intellectuelle et le cycle de mise à jour [de Snort] ».
Mais c’est peut-être justement cette logique de développement soutenu par un Etat, dans une logique souveraine, mais toutefois ouverte pour profiter des apports de la communauté, qui a séduit l’Anssi. Il faut dire que son catalogue de produits d’IDS/IPS certifiés est encore assez limité, avec des produits Netasq en critères communs, et IPS Stonegate 5.4.1 de Stonesoft et Bro 1.4 en CSPN. Stonesoft qui a été racheté par McAfee en 2013 pour tomber dans l’escarcelle d’Intel avant que celui-ci ne cède récemment ses activités sécurité à Raytheon-Websense. Lequel en a profité pour se renommer Forcepoint, dans un véritable effort de création d’un nouveau champion nord-américain de la cyberdéfense.
En somme, peut-être commençait-il à y avoir urgence à disposer d’une offre d’IPS indépendante, du fait de son ouverture, mais toute de même développée et maintenue avec la rigueur que l’on imagine inspirée par la raison d’Etat.