Publié à l'origine dans The Marker, Cyber Magazine.
À une époque où les pirates informatiques dissimulent des codes malveillants dans les pixels et les métadonnées, OPSWAT la technologie Deep CDR™, qui décompose chaque fichier en ses éléments bruts pour en reconstituer une version entièrement propre. Noam Gavish, architecte en cybersécurité, explique le principe de cette technologie et comment elle s'intègre à un système de défense multicouche.
Au sein d’une organisation de sécurité israélienne, l’équipe interne chargée de la cybersécurité a commencé à s’agiter nerveusement face à une menace venue d’une direction inattendue. Leur inquiétude ne portait pas sur une infiltration — la cybermenace classique — mais plutôt sur ce qui pourrait fuiter, à leur insu. Ils craignaient que des informations sensibles — telles que des noms de code, des emplacements et des identités — puissent être dissimulées dans des fichiers en apparence anodins : des documents Word, des métadonnées d’images, voire au sein même des pixels. Les systèmes DLP n'ont pas réussi à les détecter, les experts ne savaient pas quoi rechercher, et la situation semblait être une menace invisible sans solution. Cette lacune a été comblée par la technologie Deep CDR™ OPSWAT, qui décompose le fichier en ses composants essentiels et le reconstitue à partir des seuls objets nécessaires.
« Le principe est simple et repose sur l’hypothèse que tout fichier est suspect, conformément à l’approche Zero Trust », explique Noam Gavish, architecte en cybersécurité chez OPSWAT. « Le système Deep CDR™ Technology décompose chaque fichier, ne conserve que les éléments nécessaires à son fonctionnement, puis le reconstitue — à l’identique de l’original, mais totalement propre. La capacité de l'utilisateur final à utiliser le fichier reste inchangée, et le système permet d'adapter le comportement du module en fonction du type de fichier et du canal spécifique. Nous n'essayons pas de déterminer si un élément du fichier est bon ou mauvais. S'il n'est pas essentiel, il n'est pas conservé. »
Pour illustrer cette logique, M. Gavish fait référence à l'attaque à l'anthrax de septembre 2001 - une semaine après le 11 septembre - au cours de laquelle des lettres contenant des spores d'anthrax ont été envoyées à divers médias américains et à deux sénateurs, tuant cinq personnes et en infectant 17 autres. "Appliqué à notre technologie, si un client reçoit une lettre par la poste, notre système la réécrit mot à mot sur une nouvelle page, sans inclure la poudre blanche suspecte que quelqu'un aurait pu saupoudrer à l'intérieur.
Ainsi, au lieu de vérifier si un fichier est dangereux, vous supposez qu'il l'est - et vous ne le laissez pas entrer du tout ?
"Exactement. Tout ce qui n'est pas nécessaire - même si nous ne pouvons pas expliquer pourquoi - ne passe tout simplement pas. Il n'est pas nécessaire de déterminer si c'est malveillant. Si ce n'est pas nécessaire, c'est exclu", souligne M. Gavish. "L'objectif n'est pas la détection, mais la réduction de la surface d'attaque au strict minimum. Même si une menace n'est pas visible, elle n'a aucune chance. Cette approche repose sur des connaissances psychologiques approfondies : Les gens craignent ce qu'ils ne comprennent pas, et nous traitons les fichiers de la même manière. C'est une sorte de mécanisme de survie".
Équilibrer la cybersécurité et la disponibilité de l'information
La technologie décrite par Gavish — Content Disarm and Reconstruction, ou CDR — n'est pas nouvelle sur le marché, mais OPSWAT l OPSWAT améliorée afin de traiter des fichiers extrêmement complexes, notamment des archives, des fichiers multimédias et des documents contenant des macros actives. Cette capacité étendue lui a valu le nom de technologie Deep CDR™.
Gavish souligne toutefois que la technologie Deep CDR™ n'est qu'un élément parmi d'autres d'une plateforme complète conçue pour protéger les organisations — en particulier les infrastructures critiques — sur l'ensemble des canaux d'échange d'informations. Cela commence par les systèmes de messagerie électronique, s'étend aux USB connectés aux terminaux et inclut les interfaces système internes. Chaque fichier, quelle que soit sa source, est soumis à une analyse de sécurité à plusieurs niveaux.
Cela devient de plus en plus important à mesure que les surfaces d'attaque s'étendent, en particulier avec les attaques de la chaîne d'approvisionnement, où les pirates ciblent des tiers pour accéder à une organisation. Les pirates identifient également les points faibles des organisations - par exemple, les services des ressources humaines, qui reçoivent quotidiennement des dizaines de CV, souvent sous forme de PDF ou d'images, derrière lesquels se cachent des systèmes d'exploitation complets. Les équipes RH ont tendance à être celles qui reçoivent le plus de fichiers Office, alors qu'elles sont souvent les moins sensibilisées à la cybersécurité. Autre point faible : les supports amovibles, qui peuvent contenir des logiciels malveillants.
« Nous ne nous appuyons pas uniquement sur la technologie Deep CDR™, car aucun module ne peut à lui seul répondre à tous les défis », explique M. Gavish. « Avant qu’un fichier n’atteigne le CDR, il passe par plusieurs moteurs antivirus — plus de 30, selon la solution. Il passe ensuite par la technologie Deep CDR™, puis par le Sandbox OPSWAT, qui décode le fichier, analyse le code et détermine ce qu’il fait — ou ferait — avec des données d’entrée spécifiques. »
Le principe de fonctionnement ne repose pas sur un seul mécanisme de détection, mais sur une sécurité multicouche : si l'antivirus passe à côté d'un élément, la technologie Deep CDR™ reconstitue le fichier. Si la technologie Deep CDR™ ne détecte rien de suspect ou si des précisions supplémentaires sont nécessaires, Sandbox son comportement. Ce n'est que si rien n'est jugé suspect que le fichier est autorisé à entrer dans l'entreprise.
Pour illustrer la puissance OPSWAT plateforme complète, Gavish compare l’architecture de sécurité de l’entreprise aux châteaux médiévaux, qui utilisaient des défenses en plusieurs couches pour épuiser les assaillants. « En cybersécurité, tout repose sur les couches. Comme un château : d’abord un fossé, puis une porte en fer, des archers, et de l’huile bouillante déversée d’en haut. La technologie Deep CDR™ n’a rien de magique — c’est une brique de plus dans le mur. Et un château sans murs n’est pas un château. »
Il s'agit donc à la fois d'une combinaison technologique et d'une série de processus ?
« Oui, car la technologie Deep CDR™ est efficace dans certains cas, tandis que Sandbox d'autres — ensemble, ils offrent une couverture complète. Seuls, ils ne peuvent pas gérer tous les scénarios. Par exemple, nous combinons la technologie Deep CDR™ avec des analyses antivirus et Sandbox détecter les attaques sophistiquées que chaque couche prise isolément pourrait manquer. Nous ne proposons pas seulement une solution de sécurité ponctuelle, mais une plateforme multicouche. Nous avons construit une plateforme de sécurité circulaire, et non des barrières isolées : analyse multi-moteurs, analyse comportementale, et au cœur de tout cela, la technologie Deep CDR™ qui reconstruit chaque fichier proprement, sans poser de questions. »
La plateforme prend actuellement en charge 190 types de fichiers (DOC, PDF, ZIP, images, audio, vidéo, etc.), soit le double de la norme du secteur. Elle adapte également les niveaux de sécurité au chemin d'accès, à la configuration et à la destination du fichier.
"La protection couvre l'ensemble du paysage des menaces, mais chaque menace a sa propre nature", explique M. Gavish. "Nous ne voulons pas non plus interrompre le flux de données ou retarder les opérations. L'idée n'est pas de bloquer le monde, mais de le réintroduire d'une manière propre, en équilibrant la sécurité et la disponibilité. C'est comme boire de l'eau d'un ruisseau potentiellement contaminé : on utilise une tablette de purification et on perd des minéraux dans le processus. Mais si la tablette était plus intelligente, elle pourrait purifier et préserver les minéraux. C'est notre objectif : fournir des données dans leur structure d'origine, sans le contenu malveillant caché, toujours en fonction de vos besoins.
Sécuriser chaque point d'entrée de l'organisation
Fondée en 2002 dans le but de protéger les infrastructures critiques contre les cybermenaces, OPSWAT compte aujourd'hui quelque 2 000 clients dans plus de 80 pays. L'entreprise possède des bureaux en Amérique du Nord, en Europe (notamment au Royaume-Uni, en Allemagne, en Hongrie, en Suisse, en Roumanie, en France et en Espagne), en Asie (Inde, Japon, Taïwan, Vietnam, Singapour et Émirats arabes unis), etc.
En Israël, OPSWAT fournit des solutions de cybersécurité à des centaines d'organisations de premier plan.
M. Gavish est lui-même plongé dans la cybersécurité depuis 2007, passant de l'offensive à la défensive. Il a commencé dans l'industrie de la défense et a ensuite travaillé dans des entreprises cybernétiques en tant qu'"équipe rouge" et "équipe bleue". OPSWAT est réputé pour sa protection des infrastructures critiques - eau, électricité, transport et défense - mais en fait, sa plateforme de cybersécurité convient à n'importe quelle organisation.
Je suggère d'élargir la définition d'"infrastructure critique". Chaque organisation a quelque chose de critique. Si un journal ne peut pas imprimer parce qu'un logiciel malveillant bloque les presses, c'est un désastre. Pour lui, les presses sont une infrastructure critique. Si un assureur maladie laisse filtrer des données sensibles sur ses clients, c'est un désastre. Dans ce cas, ce sont les données qui constituent l'infrastructure critique. Si un pirate informatique perturbe un contrôleur d'ascenseur - un scénario très réel - le contrôleur devient critique. Tout point de contact avec les données - entrée ou sortie - représente un risque potentiel, et nous sommes prêts à le protéger. Je dis toujours : lorsque vous défendez des systèmes critiques, ne pensez pas seulement à l'internet, mais à toutes les portes possibles. Parfois, il ne s'agit pas d'un serveur ou d'un port, mais d'une porte dérobée au 30e étage. Dans un monde où l'on peut être attaqué par le biais d'un courriel ou d'un fichier apparemment innocent, seuls ceux qui pensent sous tous les angles sont vraiment prêts. Le système OPSWATest conçu pour cela : il protège les terminaux, les serveurs de messagerie, les kiosques permettant de connecter des appareils externes et même les systèmes de transfert de fichiers à sens unique (Data Diode). Dans un monde où même un simple fichier image peut contenir un code d'attaque intégré, le fait de le décomposer et de le reconstruire proprement est parfaitement logique - ce n'est pas de la paranoïa".
En phase avec l'époque, dans quelle mesure utilisez-vous l'IA ?
"L'IA est devenue un mot à la mode, mais OPSWAT ne l'utilise pas pour la forme, mais uniquement lorsqu'elle est vraiment utile. 99 % des moteurs antivirus qui prétendent utiliser l'IA utilisent le ML (Machine Learning). Cela dit, l'IA est excellente pour créer de nouvelles techniques d'attaque, c'est pourquoi il est essentiel de mettre en place des défenses à plusieurs niveaux. Nous ne nous fions pas uniquement aux signatures connues".
Cependant, même une sécurité à plusieurs niveaux n'est pas étanche. En matière de cybersécurité, il n'existe pas de protection à 100 %.
"C'est exact - et chez OPSWAT, nous le comprenons. C'est pourquoi notre approche neutralise les menaces, qu'elles soient détectées, connues ou répertoriées dans une base de données. Le jeu du chat et de la souris entre les attaquants et les défenseurs ne s'arrêtera jamais - c'est pourquoi nous n'essayons pas de le gagner avec un seul outil. Nous construisons des murs, des portes, des ponts et nous plaçons des archers. Il n'y a pas de 100%, mais il y a une plateforme en laquelle vous pouvez avoir confiance".
