Aujourd’hui, la croissance du trafic SSL en entreprise est continu. En conséquence, son déchiffrement est devenu incontournable pour assurer une sécurité optimale de son système d'information. Dans ce contexte, les solutions de protection de Endpoint sont-elles une alternative ?
Une tendance qui ne faiblit pas ! Le trafic global Internet chiffré tend à augmenter année après année, NSS LABS prédit que 75% du trafic global en 2019 sera chiffré. Pour information, les estimations étaient de 21% en Juillet 2015 et 40% en Juillet 2016*.
Ceci est dû à plusieurs facteurs dont celui d'obtenir un meilleur référencement Google pour les sites en https. Et bientôt, certains navigateurs indiqueront que tous les sites web en http ne sont pas sécurisés.
Mais la progression continue du recours au chiffrement SSL du trafic réseau des entreprises offre aux cybercriminels de nouvelles possibilités de cacher les logiciels malveillants vis à-vis des outils de protection. En effet, en s’appuyant sur les protocoles SSL ou TLS, ils peuvent chiffrer les communications entre leurs logiciels malveillants et leurs serveurs de « Command & Control » (C&C) et déjouer ainsi les systèmes de détection de malwares dans les flux réseau.
De nombreuses solutions de protection actuelles ne sont efficaces que si elles ont accès à la visibilité complète du trafic (IPS, antivirus notamment) d’où un besoin évident de déchiffrer les flux SSL.
Dans le cas où vous choisissez d’effectuer le déchiffrement SSL au niveau du pare-feu, cela va impliquer :
En matière de sécurité, le déchiffrement SSL effectué au sein de l’entreprise s'apparente à une attaque bien connue : celle du "Man-In-The-Middle" (MITM). Le trafic chiffré est intercepté entre le client et le service web Internet.
Mais de nombreuses applications web bloquent le MITM en renforçant leurs certificats grâce notamment au pinning qui permet de certifier une connexion SSL de bout en bout entre un client et un serveur web.
Des sociétés comme Microsoft, Apple, Citrix et Amazon possèdent déjà ce type de certificats.
Tous ces éléments tendent à démontrer que le déchiffrement SSL sur son pare-feu ou son proxy sera de plus en plus compliqué et de moins en moins efficace.
En effet, si nous nous plaçons directement côté poste client, la problématique du chiffrement / déchiffrement ne se pose plus. Les solutions de protection du Endpoint sont désormais fiables et performantes d'un point de vue sécuritaire.
Elles ont pour avantage de permettre désormais des analyses comportementales au niveau du poste et donc de détecter même les nouvelles attaques, les fameuses attaques "zero day".