{"id":41200,"date":"2019-05-08T18:34:24","date_gmt":"2019-05-08T22:34:24","guid":{"rendered":"https:\/\/stg.cira.ca\/defense-en-profondeur\/"},"modified":"2023-03-10T10:56:39","modified_gmt":"2023-03-10T15:56:39","slug":"defense-en-profondeur","status":"publish","type":"cira_document","link":"https:\/\/stg.cira.ca\/fr\/ressources\/documents\/cybersecurite\/defense-en-profondeur\/","title":{"rendered":"D\u00e9fense en profondeur"},"content":{"rendered":"

 <\/p>\n

 <\/p>\n

<\/p>\n

\n
\n

Sommaire<\/h2>\n

Les cyberattaques continuent de cro\u00eetre \u00e0 un rythme alarmant. Logiciels ran\u00e7onneurs et r\u00e9seaux de zombies sont les plus r\u00e9cents et les plus redoutables types de logiciels malveillants \u00e0 affecter les organisations.<\/p>\n

L\u2019app\u00e2t du gain, les outils faciles \u00e0 utiliser et les possibilit\u00e9s de mon\u00e9tisation fournies par les cryptomonnaies et les march\u00e9s du Web invisible ont conduit \u00e0 une croissance mondiale du nombre de pirates ciblant les organisations canadiennes. Dans ce paysage en pleine transformation, les organisations de toutes tailles doivent r\u00e9\u00e9valuer leurs strat\u00e9gies d\u00e9fensives.<\/p>\n

Le pare-feu DNS, ou pare-feu infonuagique, constitue maintenant un \u00e9l\u00e9ment essentiel de la strat\u00e9gie d\u00e9fensive, puisqu\u2019il fournit un point de vue diff\u00e9rent sur l\u2019ensemble des menaces ainsi qu\u2019une protection situ\u00e9e \u00e0 l\u2019ext\u00e9rieur du p\u00e9rim\u00e8tre de l\u2019entreprise. Combin\u00e9 \u00e0 un m\u00e9canisme de blocage des menaces bas\u00e9 sur la science des donn\u00e9es, il contribue \u00e0 la profondeur de la strat\u00e9gie d\u00e9fensive.<\/p>\n<\/p><\/div>\n<\/div>\n

\n
\n

Contribution du pare-feu DNS D-Zone \u00e0 la d\u00e9fense en profondeur<\/h2>\n

Pour les plus grandes organisations et les fournisseurs de services g\u00e9r\u00e9s, la s\u00e9curit\u00e9 informatique doit maintenant \u00eatre confi\u00e9e \u00e0 une \u00e9quipe d\u00e9di\u00e9e, qui bien souvent participe aussi \u00e0 la s\u00e9curit\u00e9 physique et \u00e0 la s\u00e9curit\u00e9 des installations. Ce type de structure aide les \u00e9quipes en question \u00e0 d\u00e9crire les modes de fonctionnement \u00e0 leurs pairs et aux employ\u00e9s non techniques au sein de l\u2019organisation. Quant aux services informatiques des petites organisations, qui doivent mettre elles-m\u00eames sur pied leurs solutions de s\u00e9curit\u00e9, nous esp\u00e9rons que ce guide les aidera \u00e0 comprendre le r\u00f4le du DNS dans un sc\u00e9nario de d\u00e9fense en profondeur.<\/p>\n

Le domaine des menaces est plus complexe que jamais auparavant<\/h2>\n

On inclut souvent dans la question de la s\u00e9curit\u00e9 les sujets suivants : l\u2019argent, la technologie, les processus, les installations et les personnes. Dans le cas de la technologie, on s\u2019entend habituellement sur les diff\u00e9rentes couches que comprend un ensemble typique, et pour chacune de ces couches, la s\u00e9curit\u00e9 doit \u00eatre prise en consid\u00e9ration aussi bien du point de vue de la conception que du d\u00e9veloppement.<\/p>\n

On trouve aussi dans la structure technologique des souscat\u00e9gories pour le mat\u00e9riel informatique et l\u2019\u00e9quipement de r\u00e9seau, qui doivent \u00eatre entretenus et r\u00e9par\u00e9s. Bien que cela ajoute au fardeau administratif, la responsabilit\u00e9 de cette t\u00e2che incombe \u00e0 des individus, et avec une planification ad\u00e9quate, elle devient plus facile \u00e0 g\u00e9rer. Ce qui est plus difficile \u00e0 g\u00e9rer, par contre, ce sont les comportements des usagers et des pirates qui ciblent l\u2019organisation.<\/p>\n

Avec l\u2019importance que prennent les appareils connect\u00e9s et l\u2019informatique de l\u2019ombre, combin\u00e9e \u00e0 une hausse des menaces aliment\u00e9e par l\u2019app\u00e2t du gain, le fait d\u2019avoir une strat\u00e9gie de d\u00e9fense en profondeur devient une n\u00e9cessit\u00e9. Pour les organisations, l\u2019approche \u00e0 outils multiples pr\u00e9sente un avantage parce que, de leur c\u00f4t\u00e9, les pirates cherchent \u00e0 d\u00e9ployer des structures \u00e0 plusieurs vecteurs.<\/p>\n

 <\/p>\n<\/p><\/div>\n<\/div>\n

\n
\n

Qu\u2019est-ce que la d\u00e9fense en profondeur ?<\/strong><\/h3>\n

Ce terme, qui trouve ses origines dans le vocabulaire militaire, \u00e9voque des couches d\u00e9fensives qui se prot\u00e8gent elles-m\u00eames, entre elles, et qui prot\u00e8gent le noyau. Comme le pare-feu DNS est situ\u00e9 en dehors de l\u2019organisation, il agit un peu comme la couverture a\u00e9rienne au-dessus d\u2019un champ de bataille. Il offre un point de vue unique et une fa\u00e7on diff\u00e9rente de r\u00e9pliquer aux menaces.<\/p>\n<\/p><\/div>\n<\/div>\n

\"common-attacks-en\"<\/p>\n
\n

Les attaques courantes et leurs motivations. Bien que l\u2019on parle plus volontiers des logiciels ran\u00e7onneurs, il existe bien d\u2019autres sortes de menaces et de motivations.<\/p>\n

Source : Nominum Data Science<\/p>\n<\/p><\/div>\n<\/div>\n

\n
\n

Collaboration entre les couches d\u00e9fensives<\/h2>\n

Commen\u00e7ons par plonger au coeur du p\u00e9rim\u00e8tre. Toutes les applications fonctionnent au moyen de mat\u00e9riel et de logiciels qui doivent \u00eatre mis \u00e0 jour ou corrig\u00e9s avec les versions les plus r\u00e9centes. Dans un contexte o\u00f9 tout est de plus en plus connect\u00e9, avec entre autres la venue de l\u2019Internet des objets, de plus en plus d\u2019appareils viennent s\u2019ajouter au r\u00e9seau de base, exigeant des efforts suppl\u00e9mentaires. Chacun de ces appareils ajoute une possibilit\u00e9 d\u2019exploiter le r\u00e9seau, et plusieurs vous placent dans l\u2019obligation de vous fier \u00e0 un fournisseur ext\u00e9rieur pour produire un correctif (patch) que vous devez ensuite d\u00e9ployer vous-m\u00eame. L\u2019entreprise elle-m\u00eame exige cette complexit\u00e9 croissante, souvent sans prendre en consid\u00e9ration les implications que cela am\u00e8ne en mati\u00e8re de s\u00e9curit\u00e9 et d\u2019entretien.<\/p>\n

Il en est de m\u00eame pour la protection des utilisateurs finaux, qui constituent le centre d\u2019int\u00e9r\u00eat du reste de ce rapport. Le service informatique peut se charger de corriger des syst\u00e8mes, mais il ne peut pas encore corriger les humains ! Tout ce qu\u2019il peut faire, c\u2019est leur fournir de la formation et du soutien.<\/p>\n<\/p><\/div>\n<\/div>\n

\"defensive-layers-fr.png\"<\/p>\n
\n

Couches d\u00e9fensives<\/p>\n<\/p><\/div>\n<\/div>\n

\n
\n

Alors, que faire ? La premi\u00e8re option, c\u2019est de revenir \u00e0 l\u2019\u00e9poque du papier et des crayons. La seconde, c\u2019est d\u2019aider les utilisateurs finaux \u00e0 se prot\u00e9ger contre les logiciels malveillants au moyen de mises \u00e0 jour automatiques de leurs logiciels, de logiciels antivirus pour leur ordinateur, d\u2019outils de filtrage de leurs courriels, et d\u2019un pare-feu pour la navigation et l\u2019acc\u00e8s aux applications hors des limites du r\u00e9seau. Il faut aussi bloquer les logiciels malveillants qui parviennent \u00e0 entrer par le biais des communications.<\/p>\n

Les solutions dans les bureaux de l\u2019entreprise reposent sur une gestion effectu\u00e9e par le service informatique ; ainsi, les meilleures pratiques actuelles de d\u00e9fense en profondeur comprennent un pare-feu infonuagique qui s\u2019appuie sur le DNS (la mati\u00e8re de base de l\u2019Internet) afin de mieux prot\u00e9ger contre les logiciels malveillants.<\/p>\n\n\n\n\n\n\n\n\n\n\n
Couche<\/th>\nFournisseur<\/th>\nCorrectifs mat\u00e9riels et logiciels<\/th>\nDonn\u00e9es sur les menaces<\/th>\nMises \u00e0 jour de la liste des menaces<\/th>\n<\/tr>\n<\/thead>\n
\n

* selon la fa\u00e7on dont les syst\u00e8mes sont g\u00e9r\u00e9s<\/p>\n<\/td>\n<\/tr>\n<\/tfoot>\n

Filtres antipourriel<\/th>\nFournisseur A<\/td>\nService informatique local*<\/td>\nSource A<\/td>\nFournisseur A+ Service informatique<\/td>\n<\/tr>\n
Anti-Virus<\/th>\nFournisseur S<\/td>\nService informatique local*<\/td>\nSource B<\/td>\nFournisseur B + Service informatique<\/td>\n<\/tr>\n
Pare-feu de p\u00e9rim\u00e8tre<\/th>\nFournisseur C<\/td>\nService informatique local*<\/td>\nSource C<\/td>\nFournisseur C + Service informatique<\/td>\n<\/tr>\n
Pare-feu DNS<\/th>\nFournisseur infonuagique<\/td>\nFournisseur infonuagique<\/td>\nSource D<\/td>\nTemps r\u00e9el<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Examinons le fonctionnement de quatre solutions courantes et les responsabilit\u00e9s de chacune. Quand on regarde ces responsabilit\u00e9s, on r\u00e9alise que si l\u2019on ne tire parti que d\u2019un ou deux niveaux de s\u00e9curit\u00e9, alors tout tient \u00e0 un ou deux points de rupture seulement. Rappelez-vous que dans ces syst\u00e8mes, chaque composante poss\u00e8de son propre ensemble de s\u00e9curit\u00e9 qui doit \u00eatre g\u00e9r\u00e9 quelque part. Bien qu\u2019il soit tentant de se d\u00e9faire de cette responsabilit\u00e9 en faisant appel \u00e0 un fournisseur, ce dernier n\u2019est pas la personne \u00e0 qui on posera des questions lorsque survient une d\u00e9faillance ni celle qui sera f\u00e9licit\u00e9e si la d\u00e9faillance est \u00e9vit\u00e9e. Au sein d\u2019une organisation, les directeurs des services informatiques doivent assumer la responsabilit\u00e9 du syst\u00e8me en entier.<\/p>\n<\/p><\/div>\n<\/div>\n

\n
\n
\n

\u00ab Tandis que les logiciels ran\u00e7onneurs continuent de progresser, les organisations se fient sur la protection des postes de travail et les parefeu traditionnels, d\u00e9montrant ainsi que ces derniers ne suffisent pas \u00e0 la t\u00e2che. \u00bb<\/p>\n<\/blockquote>

\n
Mark Gaudet <\/div>\n
Chef de produit, ACEI<\/div>\n<\/figcaption><\/figure>\n<\/p><\/div>\n
\n
\n

En plus de l\u2019approche \u00e0 niveaux multiples, le fait d\u2019avoir diff\u00e9rents fournisseurs constitue un avantage, puisque chacun poss\u00e8de une compr\u00e9hension diff\u00e9rente du contexte s\u00e9curitaire. Qu\u2019est-ce que cela signifie ? Notre propre analyse montre que moins de la moiti\u00e9 des logiciels malveillants de type \u00ab zero day \u00bb sont capt\u00e9s par les solutions antivirus traditionnelles : c\u2019est pourquoi la vitesse des mises \u00e0 jour est cruciale. Deuxi\u00e8mement, dans le brouillard qui suit la d\u00e9couverte d\u2019un logiciel malveillant de type \u00ab zero day \u00bb, les fournisseurs individuels et l\u2019industrie font souvent des suppositions et des erreurs. Ainsi, dans les minutes qui suivirent l\u2019\u00e9ruption tr\u00e8s publicis\u00e9e du virus WannaCry, sa m\u00e9thode d\u2019attaque ainsi que la fa\u00e7on astucieuse dont il a \u00e9t\u00e9 neutralis\u00e9 par un coupe-circuit DNS changeaient sans arr\u00eat. Le fait d\u2019avoir bloqu\u00e9 ou d\u00e9bloqu\u00e9 ce coupe-circuit pouvait d\u00e9pendre de la fa\u00e7on dont vous \u00e9tiez prot\u00e9g\u00e9. Et bien s\u00fbr, divers fournisseurs ont agi \u00e0 des vitesses diff\u00e9rentes. Nous ne pr\u00e9tendons pas que l\u2019ACEI fut la premi\u00e8re \u00e0 r\u00e9agir (en fait, nous ne pensons pas que quiconque sache qui a \u00e9t\u00e9 le premier \u00e0 r\u00e9agir de la bonne fa\u00e7on), mais nous \u00e9tions branch\u00e9s sur les donn\u00e9es DNS et la communaut\u00e9 de la s\u00e9curit\u00e9, de sorte que nous avons pu r\u00e9agir rapidement. Comme nous sommes un service infonuagique, nous avons mis \u00e0 jour nos d\u00e9finitions pour tous les utilisateurs d\u00e8s que l\u2019information a \u00e9t\u00e9 analys\u00e9e et comprise.<\/p>\n

Cette vitesse de r\u00e9action est importante, parce que les attaques et les infections surviennent de plus en plus au cours d\u2019\u00e9v\u00e9nements mondiaux majeurs bas\u00e9s sur le d\u00e9ploiement de r\u00e9seaux zombies tels que Necurs ou Reaper. C\u2019est un jeu du chat et de la souris qui se joue \u00e0 la vitesse de la fibre optique.<\/p>\n<\/p><\/div>\n<\/div>\n

\"global-view.png\"<\/p>\n
\n

Une vision globale aide \u00e0 prot\u00e9ger plus rapidement<\/p>\n<\/p><\/div>\n<\/div>\n

\n

Plusieurs fournisseurs = niveaux de protection multiples<\/h2>\n<\/div>\n
\"percentage-of-antivirus-fr.png\"<\/p>\n
\n

En se basant sur le flux de menaces d\u2019un seul fournisseur, vous vous fiez \u00e0 un seul ensemble de donn\u00e9es offrant un seul point de vue sur le contexte, et cela signifie qu\u2019il y a des manques. Afin d\u2019illustrer ce probl\u00e8me, Nominum Data Science a analys\u00e9 17 solutions antivirus pour mesurer le nombre de domaines malveillants connus qui ont \u00e9t\u00e9 bloqu\u00e9s. Nous constatons que bon nombre d\u2019entre eux ont \u00e9t\u00e9 inefficaces pour bloquer les principales souches. Cela ne signifie pas que leurs solutions sont mauvaises, mais seulement qu\u2019elles n\u2019effectuaient pas un blocage constant, et que plusieurs d\u2019entre elles ont laiss\u00e9 passer des probl\u00e8mes que le pare-feu DNS D-Zone a su capter.<\/p>\n<\/p><\/div>\n<\/div>\n

\n
\n

Plusieurs solutions de s\u00e9curit\u00e9 se basent sur les flux communs des plus r\u00e9centes menaces, et elles se diff\u00e9rencient soit par la mani\u00e8re dont elles d\u00e9ploient ces flux ou par les renseignements additionnels qu\u2019elles appliquent \u00e0 ces menaces. Cette derni\u00e8re donn\u00e9e est importante parce qu\u2019on ne peut pas vraiment parler de d\u00e9fense en profondeur contre les menaces si la source des donn\u00e9es qu\u2019on utilise est la m\u00eame que celle qu\u2019utilisent les autres fournisseurs. Pour le parefeu DNS D-Zone, nous utilisons les flux publics et commerciaux sur les menaces, ainsi que les renseignements additionnels obtenus au moyen de notre propre science des donn\u00e9es.<\/p>\n

En bref, voici l\u2019avantage des ensembles \u00e0 plusieurs fournisseurs :<\/h3>\n

a) R\u00e9duction du risque d\u2019un point de d\u00e9faillance en particulier
b) Protection plus large contre les logiciels malveillants<\/p>\n<\/p><\/div>\n<\/div>\n

\n

Le pare-feu DNS D-Zone : une pratique exemplaire et recommand\u00e9e<\/h2>\n<\/div>\n
\"firewall-diagram-fr.png\"<\/p>\n
<\/div>\n<\/div>\n
\n
\n

D-Zone fonctionne au-del\u00e0 du r\u00e9seau de l\u2019entreprise afin de fournir une couche d\u00e9fensive directement sur l\u2019infrastructure DNS de l\u2019Internet. Il comprend deux caract\u00e9ristiques importantes pour la s\u00e9curit\u00e9 des organisations. D\u2019abord, les flux de donn\u00e9es sont presque en temps r\u00e9el et sont bas\u00e9s sur l\u2019analyse quotidienne de plus de 100 milliards de requ\u00eates. Cela est rendu possible gr\u00e2ce \u00e0 un d\u00e9ploiement mondial au sein d\u2019importants fournisseurs de services Internet qui recueillent constamment des donn\u00e9es. Ces flux de donn\u00e9es ajoutent habituellement plus de 100 000 nouvelles menaces chaque jour \u00e0 la liste de blocage. C\u2019est cette vitesse de r\u00e9action qui vous prot\u00e8ge souvent plus vite que d\u2019autres solutions.<\/p>\n

En plus des sources de donn\u00e9es commerciales et publiques, notre analyse ajoute de nouveaux domaines de base qui sont filtr\u00e9s sur la base de motifs et analys\u00e9s plus en profondeur. Les domaines malveillants sont analys\u00e9s selon notre propre syst\u00e8me de r\u00e9putation des domaines qui d\u00e9tecte l\u2019activit\u00e9 d\u2019apparence nuisible au niveau des domaines. Cela s\u2019effectue au moyen d\u2019un moteur de d\u00e9tection des anomalies qui compare l\u2019information historique et l\u2019activit\u00e9 en direct sur le domaine. Les outils utilisent l\u2019apprentissage machine pour d\u00e9tecter et bloquer les groupes de domaines malveillants.<\/p>\n<\/p><\/div>\n<\/div>\n

\n
\n

Un avantage inattendu<\/strong><\/p>\n

Les organisations qui ont d\u00e9ploy\u00e9 de bons processus de d\u00e9fense en profondeur ont rapport\u00e9 que leurs co\u00fbts de soutien informatique \u00e9taient moindres lors de la r\u00e9paration des ordinateurs de bureaux de leurs employ\u00e9s.<\/p>\n<\/p><\/div>\n<\/div>\n

\"data-science-methods-fr.jpg\"<\/p>\n
\n

Voici, pour mieux comprendre, les deux types de domaines bloqu\u00e9s :<\/strong><\/p>\n

    \n
  1. Les domaines non r\u00e9solus,<\/strong> souvent associ\u00e9s aux r\u00e9seaux zombies et aux logiciels malveillants \u00e0 commandement.<\/li>\n
  2. Les domaines r\u00e9solus,<\/strong> un genre souvent associ\u00e9 aux publiciels, \u00e0 la publicit\u00e9 malveillante, \u00e0 l\u2019hame\u00e7onnage et autres.<\/li>\n<\/ol>\n

    De multiples flux de donn\u00e9es et des sources de donn\u00e9es uniques rendent notre science d\u2019\u00e9vitement des menaces unique et efficace.<\/p>\n

    Il est important de noter que 84 % des ajouts quotidiens \u00e0 la liste de blocage sont bas\u00e9s sur de la recherche primaire, ce qui suppose tr\u00e8s peu de recoupements avec les autres solutions de s\u00e9curit\u00e9 pour savoir si, comment et quand les menaces sont d\u00e9tect\u00e9es. La recherche et la pratique d\u00e9montrent que dans tous les syst\u00e8mes de s\u00e9curit\u00e9, certaines menaces parviennent \u00e0 franchir une couche, mais sont stopp\u00e9es dans une autre.<\/p>\n<\/p><\/div>\n<\/div>\n

    \n
    \n

    Conclusion<\/h2>\n

    En ajoutant le pare-feu DNS D-Zone \u00e0 votre strat\u00e9gie d\u00e9fensive, vous profitez d\u2019une science des donn\u00e9es et d\u2019une protection \u00e9volu\u00e9es sans avoir de syst\u00e8me \u00e0 g\u00e9rer et en n\u2019encourant aucun effet n\u00e9gatif pour vos utilisateurs ou votre rendement. Dans bien des cas, les serveurs r\u00e9cursifs de qualit\u00e9 FSI que nous d\u00e9ployons am\u00e9liorent en fait l\u2019exp\u00e9rience des utilisateurs finaux gr\u00e2ce au taux \u00e9lev\u00e9 d\u2019acc\u00e8s \u00e0 la m\u00e9moire cache durant la navigation. Consid\u00e9rant le co\u00fbt relativement faible de ce type de d\u00e9fense de p\u00e9rim\u00e8tre en comparaison avec les autres moyens de s\u00e9curit\u00e9 d\u00e9ploy\u00e9s, il devient essentiel pour toutes les organisations de faire d\u00e8s aujourd\u2019hui l\u2019essai d\u2019un pare-feu DNS dans le cadre de leur strat\u00e9gie d\u00e9fensive.<\/p>\n<\/p><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

        Sommaire Les cyberattaques continuent de cro\u00eetre \u00e0 un rythme alarmant. Logiciels ran\u00e7onneurs et r\u00e9seaux de zombies sont les plus r\u00e9cents et les plus redoutables types de logiciels malveillants \u00e0 affecter les organisations. L\u2019app\u00e2t du gain, les outils faciles \u00e0 utiliser et les possibilit\u00e9s de mon\u00e9tisation fournies par les cryptomonnaies et les march\u00e9s du […]<\/p>\n","protected":false},"featured_media":755,"template":"","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"ngg_post_thumbnail":0,"slim_seo":{"title":"D\u00e9fense en profondeur - CIRA","description":"    Sommaire Les cyberattaques continuent de cro\u00eetre \u00e0 un rythme alarmant. Logiciels ran\u00e7onneurs et r\u00e9seaux de zombies sont les plus r\u00e9cents et les pl"},"footnotes":""},"topic":[1066],"class_list":["post-41200","cira_document","type-cira_document","status-publish","has-post-thumbnail","hentry","cira_document_type-cira-document-type-rapport","cira_topic-cira-topic-cybersecurite"],"publishpress_future_workflow_manual_trigger":{"enabledWorkflows":[]},"_links":{"self":[{"href":"https:\/\/stg.cira.ca\/fr\/wp-json\/cira\/v1\/document\/41200","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/stg.cira.ca\/fr\/wp-json\/cira\/v1\/document"}],"about":[{"href":"https:\/\/stg.cira.ca\/fr\/wp-json\/wp\/v2\/types\/cira_document"}],"version-history":[{"count":0,"href":"https:\/\/stg.cira.ca\/fr\/wp-json\/cira\/v1\/document\/41200\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/stg.cira.ca\/fr\/wp-json\/wp\/v2\/media\/755"}],"wp:attachment":[{"href":"https:\/\/stg.cira.ca\/fr\/wp-json\/wp\/v2\/media?parent=41200"}],"wp:term":[{"taxonomy":"cira_topic","embeddable":true,"href":"https:\/\/stg.cira.ca\/fr\/wp-json\/cira\/v1\/topic?post=41200"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}