Pour bloquer les dernières cyber-menaces visant les entreprises et faire face à l’explosion du trafic chiffré, notamment depuis l’affaire Snowden, Check Point muscle ses appliances de sécurité avec les séries 15000 et 23000 afin d’augmenter leurs performances. « 1/3 du flux Internet est désormais chiffré contre seulement 4 à 5 % il y a 5 ans. Et on passera à 2/3 du trafic d’ici fin 2016», nous a confié Thierry Karsenti, vice-président technique Europe chez Check Point. « Le traumatisme Snowden a renversé la logique, tous les acteurs du marché ont été challengés. Finalement l’environnement a considérablement changé et nos nouvelles plates-formes matériels intègrent ce point ».
Ce programme de mise à niveau matériel, connu sous le nom de code Panther, apporte de la valeur ajoutée à la sécurité afin d’anticiper les évolutions des cybermenaces. « Tous les cinq ans nous procédons à une mise à jour hardware de nos appliances qui repose sur des serveurs x86 ou des VM. Il y a une dizaine d’années nous avons choisi l’approche industrielle avec des boitiers à pluger en garantissant une bande passante de 120 giga mais aussi un nombre de connexions supportées ». La série 23800 passe ainsi à 820 gigabits avec 28 millions de connexions simultanées et 42 interfaces avec une redondance sur chacun des composants. La conception modulaire permet une connectivité réseau flexible, avec le support des cartes 40 gigabits, pour gérer le volume croissant des données.
Threat Extraction pour piéger les APT
Selon le fournisseur israélien, « ces appliances comprennent un pare-feu entièrement intégré, un système de prévention des intrusions (IPS), un antibot, un antivirus, le contrôle des applications, le filtrage des URL et la technologie de bac à sable Sandblast ». Et bien sûr une inspection complète des paquets chiffrés sans créer de goulot d'étranglement ou compromettre l'efficacité de la sécurité, selon la société. Pour le chiffrement, les fonctionnalités sont assurées par des puces dédiées. Des mises à jour logicielles sont proposées tous les trimestres par la firme même si « certains clients nous demandent de les ralentir », nous a précisé le directeur technique Europe.
Pour pallier les limites des technologies de bacs à sable, notamment avec les APT qui détectent les sandbox, le système de Check Point peut simuler un clic de souris, accélérer l’horloge de la VM pour faire croire par exemple qu’une trentaine de minutes sont passées. « Il est même possible d’effectuer un reboot ou d’atteindre le 1er jour du mois pour tromper les menaces exploitant des vulnérabilités non patchées », nous a indiqué Thierry Karsenti. Un problème très courant concerne les services des ressources humaines qui sont particulièrement visés par les cyberpirates car ils doivent ouvrir les CV envoyés par email. Pour répondre à ces besoins, la société pousse la fonctionnalité Threat Extraction. « Ce flux qui entre, on va le nettoyer de tout vecteur d’attaques. Un fichier Word peut être débarrassé de toutes ses macros et du code objet inutile et transformé en document PDF pour conserver le format. Les services RH peuvent ainsi consulter le document sans inquiétude notamment s’il est lu par le PDG de l’entreprise qui suit de près certains postes stratégiques. En faisant du préventif, nous limitons les menaces ». Un lien est toujours envisageable vers le document d’origine s’il est nécessaire de le modifier.
Deux packs logiciels proposés
Les deux gammes d’appliances, 15000 et 23000, reposent sur l’OS maison Gaia, une distribution Linux durcie, complété par un microsystème d’exploitation pour piloter certaines fonctions, avec deux packs logiciels. Un premier avec l’offre Next Generation Threat Prevention et un second avec Next Generation Threat Extraction, avec en plus le bac à sable Sanblast. Pour les tarifs, Check Point annonce un prix de départ de 42 000€ pour l’appliance 15400 et 135 000€ pour la 23800.