Repérer les dispositifs sans fil malveillants dans les réseaux d'entreprise
Axé sur le marché en plein développement de l'Internet des objets, la start-up Bastille, créée par Chris Rouland, ancien CTO d'ISS et fondateur d'Endgame, détecte les émissions de terminaux au sein de l'entreprise pour prévenir le vol de données.
La startup Bastille prépare une solution capable de repérer tout trafic radio suspect dans les entreprises. La solution permettrait aux professionnels de la sécurité de surveiller les appareils ou objets connectés qui échapperaient, sinon, à toute détection. La solution, toujours en bêta et actuellement en cours de test, « est basée sur des capteurs chargés de recueillir des données sur le trafic radio dans l'entreprise et sur un moteur d'analyse dans le cloud qui identifie le trafic malveillant », a expliqué le fondateur et CEO de Bastille, Chris Rouland (en photo). « L'outil balaye en continu toutes les fréquences comprises entre 50 MHz à 6 GHz pour identifier les fréquences dont les RSSI ne veulent pas dans leur espace aérien, permettant ainsi une forme de contrôle », a-t-il ajouté. Par exemple, un salarié vient travailler avec son téléphone Android personnel. Mais le mobile est infecté par un logiciel malveillant qui tente de se connecter à des périphériques réseau via Bluetooth pour les compromettre. « Si l'entreprise n'a pas installé de solution de gestion sur le téléphone de son salarié, elle n'a aucun moyen de savoir si le mobile présente ou non un risque pour ses réseaux », souligne-t-il.
Le système mis au point par la startup basée à Atlanta (Géorgie) peut détecter les tentatives d'appairage avec les périphériques Bluetooth et déclencher des alertes. Par exemple, le système peut voir si, dans un datacenter, un appareil essaye de se connecter en Bluetooth, et repérer une tentative d'accès aux données de l'entreprise. « Une connexion sans fil à 5 MHz avec le datacenter correspond peut-être à un appel téléphonique tout à fait légitime. Mais une transmission de données LTE à 20 Mb/s avec le centre de données à 2 heures du matin déclenchera une alarme », a déclaré Chris Rouland. Si le système détecte une activité suspecte, Bastille peut déclencher des alertes vers la solution de gestion des évènements et des informations du SI, le SIEM. Techniquement, le système pourrait bloquer ce trafic, mais ce blocage pourrait être incompatible avec les contraintes règlementaires. « L'important est d'empêcher les appareils suspects de se connecter au réseau. Cependant, nous ne voulons pas seulement détecter les intrusions, nous voulons aussi les prévenir », a déclaré le CEO.
Une couverture complète de la zone à surveiller
Le déploiement des capteurs est fait de telle sorte qu'il permette un maillage et une couverture complète de la zone à surveiller. Les données collectées sont envoyées sous forme cryptée vers un cloud privé géré par Bastille où elles sont traitées. La startup n'a pas encore décidé la localisation de ce cloud. L'analyse des données permet de savoir où se trouve le dispositif suspect dans le bâtiment. « Nous pensons que les clients installeront la solution dans les endroits les plus sensibles comme les datacenters ou les espaces de direction », a-t-il déclaré. « Dans leurs politiques, les entreprises peuvent décider d'interdire tous périphériques non autorisés dans une zone géographique déterminée, autour des datacenters par exemple, et l'outil de Bastille pourra identifier toute violation dans la zone ».
Le système recherche les protocoles pouvant transiter à travers les connexions sans fil. Le logiciel développé détecte les protocoles les plus courants, mais il est possible d'en ajouter d'autres à la demande en mettant à jour le logiciel embarqué sur les capteurs. Le système de Bastille utilise aussi l'analyse comportementale : par exemple, il repère un terminal qui essaye de se connecter avec tous les terminaux qu'il peut localiser ou celui qui effectue un balayage Wi-Fi sur la zone dans laquelle il se trouve, ou un nouveau relais cellulaire qui apparaît soudainement dans le bâtiment. Un tableau de bord permet de visualiser l'environnement tel qu'il est perçu par les scanners.
Encore en version bêta, disponibilité prévue pour 2016
L'achat des capteurs sera à la charge des clients et le service d'analyse, dont le tarif n'a pas encore été fixé, sera proposé sous forme d'abonnement annuel. La startup espère vendre sa solution à des entreprises concernées par la sécurité des objets connectés, souvent conçus sans système de sécurité intégré. En général, les entreprises ne disposent pas de solutions permettant de protéger leurs réseaux contre ces dispositifs. « Les RSSI n'ont pas de budget pour sécuriser l'Internet des Objets », a-t-il affirmé. Mais Chris Rouland reconnaît qu'il sera peut-être nécessaire de convaincre les professionnels de la sécurité que les objets connectés posent un vrai problème aux entreprises.
Le système est encore en version bêta. La disponibilité générale du produit est prévue pour le premier trimestre 2016, avec un lancement possible pendant la conférence sur la sécurité RSA. La startup, dont le nom vient de la forteresse parisienne prise pendant la Révolution française, a été financée à hauteur de 9 millions dollars par Bessemer Venture Partners. Son fondateur, Chris Rouland, a été CTO d'ISS (Internet Security Systems), racheté par IBM en 2006, et il a fortement contribué au succès de la taskforce X-Force. En 2008, il a fondé Endgame, spécialisé dans la cybersécurité et la défense pour les services gouvernementaux.
