Inspecter le trafic chiffré pour réduire les risques

0
229

Selon un rapport 2021 de WatchGuard (organisation de cybersécurité) 95,5% des malwares proviennent du trafic chiffré.

Tribune Gigamon – Aujourd’hui, plus de 80% du trafic dans le monde est chiffré et comporte des risques qu’il ne faut jamais sous-estimer. Les attaquants savent que les connexions chiffrées sont un excellent moyen pour ne pas être détectés, alors qu’ils se déplacent latéralement en maintenant leur position ou en améliorant leurs privilèges. Lorsque cela se produit, les sessions STL/TLS deviennent un handicap, camouflant le trafic malveillant. Compte-tenu de la quantité de trafic chiffré, y compris avec la dernière norme cryptographique TLS 1.3, l’importance de l’inspection du trafic chiffré devient un prérequis critique pour les entreprises.

Besoins de visibilité du trafic est-ouest et inspection du trafic chiffré

C’est un fait, les outils de sécurité réseau sont souvent configurés pour ignorer le trafic est-ouest chiffré et ce, même s’il constitue l’essentiel du trafic à l’intérieur du réseau.

Selon un rapport récent, élaboré par Gigamon et dédié aux différentes technologies de chiffrement du trafic est-ouest et nord-sud : 65% de l’ensemble du trafic est interne. Le rapport donne par ailleurs, un aperçu intéressant des tendances d’adoption du chiffrement et de l’utilisation persistante de protocoles de chiffrement devenus obsolètes et non sécurisés, tels que SSL et TLS10.

La visibilité est-ouest est un paramètre essentiel parce qu’elle permet :

  • de respecter des réglementations qu’imposent la protection des données ;
  • d’obtenir des mesures de performances précises ;
  • et surtout de détecter et résoudre pus vite des risques de sécurité.

Introduire des fonctionnalités d’inspection du trafic chiffré offre aux outils de sécurité une longueur d’avance : le déchiffrement et l’inspection SSL/TLS décode de manière centralisée tout le trafic et le partage avec les outils de sécurité, pour exposer les menaces et les logiciels malveillants cachés, avant de le rechiffrer.

A noter : avant d’adopter une plate-forme de déchiffrement, les responsables de la sécurité doivent rechercher les différentes options qu’ils ont à leur disposition, leurs avantages (faciles à déployer et à faire évoluer) et leurs inconvénients. Il faut aussi que la solution choisie ait la capacité de distinguer les données à déchiffrer de celles qui ne peuvent pas l’être pour des raisons de confidentialité, par exemple.

Enfin et surtout, la solution doit être testée dans un environnement de production pour éviter toute interruption de service grâce à la fonctionnalité de contournement en cas de crise majeure.

Bertrand de Labrouhe, directeur des ventes Europe du Sud, Gigamon explique :

« déchiffrer et inspecter les flux de bout en bout, c’est agir en avance de phase pour capturer d’éventuelles anomalies que l’on transfère aux outils de sécurité pour optimiser le déploiement des défenses adaptées. Dans les environnements de plus en plus complexes, où les volumes de données ont explosé, l’inspection du trafic chiffré est un facteur qui ne doit jamais être minoré dans le cadre d’une stratégie de sécurité ».