Frank Mong, HP : "La réalité, c’est que si quelqu’un veut entrer, il y arrive"

Frank Mong, vice-président de HP et directeur général de son activité produits de sécurité d'entreprise, était de passage à Paris pour le lancement des nouvelles appliances TippingPoint. L'occasion de faire le point sur les défis auxquels sont aujourd'hui confrontés les RSSI et... sur ce qui les attend dans un avenir proche.

Frank Mong, HP Enterprise Security Products.

Frank Mong, HP Enterprise Security Products.

LeMagIT : Le point d’entrée de base au SI d'une entreprise pour des attaquants reste le phishing ciblé. Ne peut-on rien faire pour s'en protéger ?

Frank Mong : Si ! Il n’est pas question là de chercher des pourriels mais de placer l’IPS en amont de l’annuaire et de s’intéresser à des comportements. Et si une requête tombe sur l’annuaire de manière répétée, selon un certain schéma, différent de celui du trafic normal. TippingPoint peut détecter cela et le signaler. Et la plupart de nos clients demandent justement à être alertés de typologies de trafic très spécifiques. Ce genre de requête passera au travers du pare-feu : c’est une requête à priori légitime.

Mais c’est dans le schéma logique dont relèvent plusieurs requêtes successives que l’on identifie une menace. C'est un jeu du chat et de la souris. Les attaquants sont très intelligents dans leur manière de procéder. Mais l’IPS est une technologie basée, par essence, sur l’apprentissage. Et il est possible de la configurer pour tout ce que l’on souhaite. Nous n’avons pas de technologie spécifique pour gérer cette menace et ces comportements. Mais nous pouvons travailler sur cette problématique.

LeMagIT : L'intégration avec un système de gestion des informations et des événements de sécurité, comme celui d'ArcSight, ne permet-il pas d'aller plus loin ?

F.M.: C’est pour cela que je déteste parler de produits isolés. Nos produits TippingPoint ont bien sûr leur valeur propre, mais leur intégration avec les outils ArcSight permet de construire des solutions uniques. ArcSight dispose de nombreuses données supplémentaires, sur l’origine du trafic, sur ce qu’en disent les pare-feu, ou encore nos DVLabs.

L’intégration avec Autonomy peut même  nous aider en la matière. Autonomy peut avoir indexé toutes les informations sur le réseau interne, mais également des sources externes, comme les éléments de réputation de l’adresse IP d’où vient le trafic - eh ! ça ne touche pas que HP, mais aussi Coca Cola, et Air France ! Toutes ces requêtes ridicules qui reviennent en continu... pourquoi ?! - C’est avec la corrélation qu’apporte ArcSight qui fait que l’on gagne la visibilité nécessaire à la compréhension de la situation.

LeMagIT : Au cours de la RSA Conference, Art Coviello a construit son discours autour du double concept «d’inconnu connu» et «d’inconnu inconnu» - le premier relevant de l’inconnu que l’on peut imaginer. De quelle manière pensez-vous qu’une combinaison d’ArcSight, TippingPoint et Autonomy peut aider à répondre à «l’inconnu inconnu» ?

F.M.: C’est comme une équation mathématique à de multiples inconnues. Dans une combinaison telle que vous la décrivez, ce que l’on fait, c’est supprimer des inconnues. Cela ne permet pas forcément de savoir ce à quoi correspond ce que l’on étudie. Mais cela permet au moins de savoir ce que cela n’est pas. Cela aide à éliminer des options.

LeMagIT : Franchement, cela fait un peu peur de se dire que l’on cherche à protéger son activité, ses données, de cette manière et, surtout, de se dire que l’on va peut-être avoir besoin de mathématiciens, de scientifiques des données, pour protéger son entreprise des méchants...

F.M.: Je pense qu’à l’avenir, il sera indispensable de disposer de capacités analytiques pour comprendre la situation de son entreprise. Mais clairement, le contexte actuel est considérablement plus complexe qu’il y a quinze ans. A l’époque, il suffisait d’avoir un pare-feu à la périphérie de son réseau... La mobilité, le Cloud computing, transforment l’équation. Salesforce.com, box.net... les données sont partout, sont répliquées... Contrôler tout cela est très difficile. Le nombre de variables a progressé de manière exponentielle.

Dès lors, la seul façon de se protéger de «l’inconnu inconnu» est d’éliminer autant... «d'inconnues» que possible. Et pour faire cela, vous avez besoin d’un analyste spécialiste des données. Appelez-le comme vous voulez, mais plus vous êtes capable de disposer de renseignements, de corréler des données, et de produire des analyses, plus vous êtes en mesure d’agir. Sinon, vous êtes paralysé.

LeMagIT : Comment appréhendez-vous l’émergence des SDN ? Comme un nouveau point de vulnérabilité ou comme une opportunité ?

F.M.: Dans ma perspective, il s’agit d’une nouvelle application permettant au réseau de gagner en agilité en fonction des besoins des applications. C’est une transformation dans la durée. Cela ne se fera pas en un claquement de doigts, comme pour la virtualisation des serveurs. Cela va générer des besoins en matière de sécurité. Mais nous avons commencé à travailler avec nos collègues de la division réseau pour développer des offres dédiées aux SDN. HP Sentinel - présenté à l’automne dernier - en est l’illustration. Très simplement, il s’agit d’une sorte d’IPS virtuel qui peut bloquer les logiciels malveillants sur le réseau, dans un réseau SDN. Et comme nos autres offres, il s’appuie sur les informations des DVLabs pour mettre à jour son comportement, en continu. Dans tous les cas, on a besoin d’un capteur qui sente les choses et soit capable de réagir rapidement à la moindre menace.

LeMagIT : De manière très concrète, quels sont les éléments susceptibles de conduire à l’échec d’un projet de déploiement d’IPS ?

F.M.: Cela dépend vraiment de l’endroit où se trouvent vos données les plus précieuses. C’est là qu’il faut commencer. Je n’aurais pas dit cela il y a 15 ans, lorsque les frontières étaient nettes. Mais ce n’est plus le cas aujourd’hui. Si vous demandiez aujourd’hui si vous avez besoin d’un pare-feu, je vous dirais non. Pourquoi ? Parce qu’il n’empêche pas que l’on soit piraté tout le temps. La réalité, c’est que si quelqu’un veut entrer, il y arrive.

Alors pour sécuriser mes actifs informationnels, j’adopterais une approche orientée de l’intérieur vers l’extérieur, en commençant par là où se trouvent mes données les plus sensibles. Parce que je ne sais plus où est la limite, la frontière. Je sais juste où sont mes données. Et là où elles se trouvent, je veux qu’elles soient protégées - chiffrées, notamment, bien administrées... Mais c’est une question très difficile. La réponse la plus simple est de se concentrer sur le lieu où se trouvent les données. Parce que c’est le Saint Graal. C’est là que tout le monde veut entrer.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)