Trois start-up françaises étaient présentées à l’occasion de la dernière édition des RIAMs, à Saint-Tropez. Parmi elles, IDECSI a retenu notre attention pour sa solution pragmatique au problème de la sécurisation des comptes emails sensibles (dirigeants, hommes-clés…).

Ceux-ci sont en effet non seulement susceptibles d’être compromis comme tous les autres depuis une attaque traditionnelle venue de l’extérieur (après un vol d’identifiants par exemple), mais aussi d’attirer en interne la curiosité d’administrateurs systèmes peu scrupuleux. Car un administrateur dispose de tous les outils et des droits nécessaires pour aller consulter (ou rediriger) les courriers de n’importe qui dans l’entreprise sans laisser de traces. Ou du moins, en ne laissant que des traces jusqu’à présent rarement observées et encore moins corrélées.

L’approche mise en oeuvre par IDECSI consiste à rechercher les incohérences inévitables qui se produisent lorsqu’un intrus accède aux courriers électroniques de sa cible. Celles-ci peuvent être multiples : comportementales (plages horaires, volume des données sortantes…), techniques (deux accès simultanés depuis des clients aux profils très différents, etc…) ou même géographiques (accès au webmail depuis une adresse IP éloignée de la position géo-localisée du mobile du dirigeant, par exemple).

Des solutions mettent déjà en oeuvre des concepts similaires dans le cadre de la lutte contre la fraude en ligne (notamment chez RSA). Elles corrèlent par exemple les accès simultanés ou la position géographique du client lors d’un achat sur le web (l’anomalie, ici, est d’utiliser le même numéro de carte bancaire pour deux achats simultanés ou réalisés à des milliers de kilomètres d’écart). Mais elles sont taillées pour les e-commerçants et le monde bancaire plutôt que l’email, et elles sont naturellement beaucoup plus lourdes.

La solution d’IDECSI est quant à elle commercialisée en mode SaaS sous la forme d’un abonnement annuel par utilisateur. Elle s’appuie sur l’analyse passive des journaux des serveurs de messagerie à l’aide d’une appliance installée dans l’entreprise. Elle ne nécessite donc pour fonctionner qu’un compte utilisateur aux droits limités ayant accès en lecture seulement aux journaux. N’étant pas placée en rupture, elle n’impacte pas le traitement des courriers et sa défaillance éventuelle n’a aucun impact sur la fonction email. Elle communique avec l’infrastructure d’IDECSI via une connexion HTTPS classique initiée de l’intérieur vers une adresse IP fixe spécifique (ce qui permet notamment d’encadrer le flux sortant à l’aide d’une règle du pare-feu). Et bien entendu, elle est administrée à distance par IDECSI et reste donc hors de portée des administrateurs systèmes de l’entreprise.

L’une des originalités de cette solution est son application pour smartphone. Installée sur le terminal du dirigeant celle-ci permet d’activer sa géolocalisation (une action volontaire, qu’il peut désactiver et ré-activer à sa guise). Dès lors tout accès à sa messagerie (via le webmail ou l’interface traditionnelle) initié depuis une adresse IP localisée à plus d’une certaine distance de sa position donnera l’alerte. C’est tout bête, mais ça peut éviter bien des intrusions !

La solution permet en option de faire du DLP léger sur le mail et de corréler également les journaux des systèmes téléphoniques.

L’éditeur annonce enfin pour sa V2 l’intégration des journaux générés par les systèmes de contrôle d’accès physique. Une telle agrégation n’est certes pas un concept nouveau mais elle est rarement mise en oeuvre (ou en tout cas seulement ponctuellement et à notre connaissance jamais industrialisée). Elle permet cependant de détecter des anomalies très significatives telle par exemple l’ouverture d’une session sur le terminal d’un collaborateur qui n’a pourtant jamais badgé pour entrer.

Une telle corrélation rappelle le fameux eTrust 20/20, une offre ambitieuse et morte-née de CA il y a onze ans de cela (et nous étions déjà enthousiasmé par cette idée à l’époque !). De l’observation des journaux tout azimut à l’idée d’y chercher des incohérences, il n’y avait qu’un pas…