ICTjournal 05/2021

Publireportage

Publireportage Sécurité de pointe pour les PME Les PME doivent se protéger de manière efficace, efficiente et aussi simple que possible contre les cybermenaces. Heureusement qu’avec WatchGuard, il existe un fournisseur de services de sécurité qui s’est entièrement consacré à la sécurité informatique des petites et moyennes entreprises et qui propose des solutions de la plus haute qualité. Jürg Hefel, product manager chez le distributeur de sécurité informatique BOLL, nous en dit plus en interview. Qui est WatchGuard et que propose cette entreprise dans le domaine de la cybersécurité? WatchGuard a lancé le premier firewall au monde sous la forme d’une appliance en 1996. Les «firebox» rouge vif suscitaient déjà un grand intérêt à l’époque. Aujourd’hui, WatchGuard propose une gamme de solutions de sécurité on ne peut plus complète, notamment grâce à l’acquisition de Panda Security en juin 2020. L’objectif de Watch Guard a toujours été de fournir des solutions de sécurité de pointe – adaptées aux besoins des PME. À quelles entreprises et quels secteurs le portefeuille de WatchGuard convient-il? En tant qu’entreprise américaine, WatchGuard définit les entreprises de 5 à 5000 employés comme des PME et se concentre sur ce marché. Toutefois, l’accent mis sur les PME n’a rien à voir avec le type et la gamme des solutions proposées, mais avec l’approche: WatchGuard attache de l’importance à ce que les PME atteignent le niveau optimal de sécurité informatique le plus rapidement possible, mais avec le moins de dépenses et de complexité possible. Les solutions WatchGuard correspondantes couvrent l’ensemble de l’entreprise – du périmètre du réseau à l’infrastructure WLAN en passant par les terminaux, la cyberdéfense zero-day et les rapports transparents et complets. Et tout cela avec une gestion centralisée de bout en bout, basée sur le cloud ou, si souhaité, installée localement. De quelle manière cette simplicité se traduit-elle? Les fournisseurs de sécurité d’entreprise ont généralement besoin de diverses appliances ou machines virtuelles pour différentes tâches et fonctions. En revanche, WatchGuard combine tout dans un environnement centralisé. Il s’agit également d’un avantage en termes de savoir-faire – tant pour les revendeurs que pour les clients. Il n’est par exemple pas nécessaire d’obtenir d’innombrables certifications pour pouvoir agir de manière compétente dans le monde de WatchGuard. En outre, la gestion via le cloud est extrêmement utile. Toutes les fonctions peuvent être configurées, gérées et surveillées de manière centralisée depuis le cloud. Cela permet de gagner du temps et de simplifier considérablement le traitement de la sécurité. Pouvez-vous donner un exemple concret? L’intégration des services de staging et de déploiement de WatchGuard en est un bon exemple. Tous les firebox et points d’accès peuvent être configurés et déployés hors ligne à l’aide de templates. Tous les appareils peuvent être expédiés directement sur le site et installés sans assistance sur place. Cela vaut également pour les hardwares défectueux, qui sont remplacés directement sur place. Le service décrit est particulièrement important pour les (grandes) entreprises géographiquement dispersées. Je voudrais aussi mentionner les fonctions de visualisation, de rapport et de journalisation disponibles en permanence, qui peuvent être adaptées aux besoins spécifiques du client. WatchGuard offre également de nombreuses fonctions de sécurité avancées dans le domaine du WLAN, telles que le système WIPS pour la détection automatique des clients malveillants ou la solution RAP, afin de pouvoir travailler avec le même SSID au siège de l’entreprise, dans les succursales ou à domicile. Cela signifie que les règles de sécurité strictes de l’entreprise s’appliquent partout. Quels sont les avantages que WatchGuard offre aux partenaires de distribution? Tout d’abord, il y a la capacité multitenant constante de l’ensemble de la solution. Le nombre de clients, de sites, d’appliances et de terminaux gérés de manière centralisée est illimité. Cela signifie que tous les clients peuvent être gérés à partir d’une seule console. Cela s’applique à tous les produits WatchGuard ainsi qu’aux solutions basées sur le cloud de Panda, mais aussi aux produits complémentaires tels que la solution d’authentification AuthPoint, DNSWatchGO, Passport, etc. En outre, comme nous l’avons mentionné précédemment, le portefeuille de WatchGuard est destiné aux PME et convient donc parfaitement aux partenaires de distribution qui se tournent vers ce segment de clientèle. Soit dit en passant, Watch­ Guard propose ses produits exclusivement via le channel. Il n’y a pas de ventes directes aux clients finaux. Cela ne nécessite-t-il pas aussi des licences flexibles? C’est exact, et par conséquent WatchGuard offre un degré de flexibilité qu’aucun autre fabricant ne peut égaler. Les Jürg Hefel, Product Manager, BOLL partenaires achètent des licences pour un certain nombre d’utilisateurs et peuvent les distribuer librement parmi leurs clients – même les très petites entreprises comptant un seul employé peuvent devenir des utilisateurs. L’octroi de licences se fait sur une base mensuelle ou pour une durée d’un ou trois ans. Il est possible de proposer différents modèles de licences ou de licences spécifiques aux clients. La solution idéale pour les partenaires MSSP. En bref, comment définiriez-vous WatchGuard en une seule phrase? Grâce à sa gamme complète de produits de sécurité pour les PME, WatchGuard constitue la solution tout-en-un idéale pour les clients et les partenaires de distribution. BOLL Engineering SA En Budron H15 1052 Le Mont-sur- Lausanne Tél. 021 533 01 60 vente@boll.ch www.boll.ch

cybersécurité avis d’expert 35 SecOps: les équipes gardentelles la tête hors de l’eau? Le grand nombre d’alertes surcharge les centres opérationnels de sécurité (SOC) – tant professionnels que privés. Les équipes travaillant à leur limite, des erreurs peuvent se produire, qui peuvent avoir des effets majeurs. «Dans le monde numérique actuel, les failles restent inévitables: ce qui compte, c’est la façon dont on y réagit». C’est cette philosophie que les entreprises les plus matures ont choisi d’adopter depuis plusieurs années en matière de sécurité. Une approche qui ne s’est répandue plus largement que récemment, conduisant les organisations à se concentrer sur la détection et la réponse aux menaces via la création de centres opérationnels de sécurité (SOC). Toutefois, si la promesse est belle, la réalité peut être toute autre. En effet, sans les outils adéquats, les analystes SecOps (équipe de sécurité opérationnelle) Les nouvelles techniques d’attaques furtives ont rendu caduques les approches traditionnelles de la sécurité. internes ou externes au SOC se retrouvent soumis à une pression extrême impactant leur productivité, leur sentiment d’accomplissement professionnel, voire parfois la santé mentale des équipes. Le périmètre est mort Les nouvelles techniques d’attaques furtives ont rendu caduques les approches traditionnelles de la sécurité. Il est en effet devenu impossible et contre-productif de mettre en place une sécurité périmétrique du réseau de l’entreprise quand les attaquants peuvent y pénétrer via des informations d’identification usurpées, hameçonnées ou piratées. Il suffit de jeter un coup d’œil aux marketplaces les plus populaires du dark web pour constater que de nombreux identifiants volés sont aujourd’hui à portée de main. Une fois à l’intérieur du réseau, les hackers utilisent des outils légaux tels que Cobalt Strike, PSExec et Mimikatz pour rester sous le radar tout en se déplaçant latéralement, complexifiant ainsi leur détection par les systèmes de sécurité traditionnels. Noyés dans la masse des alertes Ces évolutions ont mis l’accent sur l’importance de la détection et de la réponse aux menaces et façonnent le quotidien des équipes SecOps. Toutefois, que le service sécurité traditionnel s’appuie sur un SOC ou sur une équipe de spécialistes, un problème persiste: les organisations ont accumulé un trop grand nombre d’outils de sécurité au cours des dernières années, générant de facto une surcharge d’alertes. A moins d’être régulièrement ajustés par des experts, les SIEM ne parviennent donc pas toujours à s’y retrouver. Ces alertes incessantes conduisent à une forme de crispation au niveau des équipes SecOps. Près de la moitié des spécialistes suisses (42%) reconnaissent ainsi être complètement noyés par le volume d’alertes à gérer au quotidien et ne pas être confiants de leur capacité à les hiérarchiser et à y répondre (55%) 1 . Rien d’étonnant au fait que les équipes soient sous pression à cause du stress généré, allant parfois jusqu’à impacter leur vie sociale. Par ailleurs, sous la pression des alertes, les équipes prennent certaines décisions susceptibles de mettre en péril la sécurité de l’entreprise. Dans les cas les plus extrêmes, certaines reconnaissent avoir parfois ignoré, voire complètement désactivé des alertes. Dans ce contexte, quelle garantie de protection pour l’entreprise? Et comment répondre en cas d’attaque? De plus en plus confrontées à de nouvelles formes de ransomwares, les organisations tendent à payer les rançons demandées, pensant être rapidement tranquilles et reprendre la main sur leurs actifs. Toutefois, ce n’est pas parce qu’elles paient que le risque est écarté. Au contraire, de récentes études 2 suggèrent que les groupes de hackers tiennent de moins en moins leur promesse de ne pas divulguer les données dérobées une fois que la victime s’est acquittée de la rançon. Ainsi, confrontées à la multiplicité des outils de sécurité, les équipes SecOps ne savent parfois plus où donner de la tête. Bénéficier d’une visibilité centralisée permettant de hiérarchiser et corréler les alertes entre les différentes couches de l’infrastructure informatique est devenu une vraie nécessité. En procédant ainsi pour la messagerie, les réseaux, les instances cloud et les endpoints, elles pourraient être plus productives et ne se concentrer que sur les signaux importants. L’auteur Michael Unterschweiger, directeur régional pour la Suisse et l’Autriche chez Trend Micro (*) Références 1 https://www.trendmicro.com/ex plore/en_gb_soc-research/00792- v1-en-tmr 2 https://www.coveware.com/blog/ q3-2020-ransomware-marketplacereport www.ictjournal.ch © netzmedien ag 05 / 2021