Nombreux étaient les éditeurs à exposer dans les allées de la RSA Conference. Nous en avons retenu cinq. Ils sont ceux qui ont su nous faire faire rêver… ou au moins stimuler notre curiosité !

Hirsch Electronics fait converger contrôle d’accès physique et logique. La société propose une solution de contrôle d’accès unique capable de faire reposer l’accès physique (par badge) sur l’annuaire Active Directory de l’entreprise. Cela permet par exemple d’associer des groupes de l’annuaire ou des rôles métiers à des zones physiques : un employé de la comptabilité ne pourra, par exemple, badger que les portes identifiées comme étant des ressources appartenant au groupe comptabilité. La solution permet également de dé-provisionner automatiquement l’accès physique d’un collaborateur lorsque son entrée dans l’annuaire est effacée. Mieux : les informations issues du système de badge physique peuvent être utilisées pour appliquer des politiques réseau sur le commutateur (par exemple n’autoriser l’accès réseau au poste de travail qu’une fois que son utilisateur a badgé pour entrer dans le bâtiment, et refermer le port à sa sortie du bâtiment).

Le site de Hirsch Electronics

Triumfant verrouille les configurations . Avec Triumfant Resolution Manager, l’éditeur offre un client de sécurité local capable de prendre une empreinte détaillée du poste de travail (jusqu’à deux-cent mille points de contrôle et hashes de fichiers) et d’analyser chaque modification afin de déterminer si elle impacte l’intégrité ou la sécurité du poste. Mais là où TRM innove, c’est que la solution est distribuée : les alertes relatives à chaque poste individuel sont comparées au profil évolutif de l’ensemble du parc de l’entreprise, afin de décider s’il s’agit d’une infection ou d’un changement légitime propre à l’entreprise. Triumfant Resolution Manager est alors en mesure d’appliquer si cela est nécessaire un roll-back vers l’état pré-infection de la machine. Si les outils d’empreinte du poste de travail sont nombreux, la solution de Triumfant semble se détacher du lot par son orientation grands comptes, son aspect collaboratif et sa capacité à prendre en charge automatiquement les évolutions naturelles du parc.

La présentation de TMR sur le site de Triumfant.

Solera Networks apporte du contexte aux IDS. L’éditeur propose Solera DS Forensics, une appliance (physique ou virtuelle) destinée à l’analyse forensique des attaques. La solution se connecte sur le réseau via un port SPAN du commutateur puis indexe et archive la totalité du trafic. Elle permettra ensuite d’identifier la cause et l’ampleur d’une attaque a postériori grâce à de nombreuses options de rejeu, d’exploration et de visualisation données. Plus particulièrement, nous avons été séduits par la démonstration de récupération des documents a postériori à partir d’une simple alerte d’IDS. Un lien intégré à la console de l’IDS (Snort dans cet exemple) permet d’aller sur l’interface de Solera et de reconstruire par exemple le fichier Word (.doc) ou la DLL piégée qui a déclenché l’alerte sur l’IDS et il est alors possible de télécharger le document pour l’analyser.

Les appliances DS Forensics sur le site de Solera Networks.

Mykonos Software occupe les pirates. Probablement la solution la plus improbable du salon, Mykonos offre une appliance destinée à injecter des vulnérabilités dans les sites web ! Plus précisément, le boîtier se place entre le serveur web et les clients, et il injecte dynamiquement dans le flux HTML des vulnérabilités qui n’existent pas sur la page web originale. Si ensuite un client tente d’exploiter l’une de ces failles, l’appliance saura qu’il s’agit d’un attaquant et pourra tagger son navigateur, tenter de le géolocaliser et même lui attribuer un nom et un niveau d’expertise en fonction des vulnérabilités qu’il sera parvenu à exploiter. Mieux : la solution de Mykonos continuera à donner le change afin d’occuper le pirate et de collecter des informations supplémentaires à son sujet. Cela peut aller jusqu’à lui offrir un faux fichier de mots de passe à télécharger, avec des sésames chiffrés que le pirate pourra tenter de déchiffrer hors-ligne. S’il y parvient et utilise ces crédances sur le site il verra alors son niveau de compétence revu à la hausse et sera étiquetté comme cible prioritaire pour l’équipe de sécurité. Celle-ci dispose à tout moment d’une vue des attaquants actifs et peut décider de les neutraliser de différentes manières, depuis l’affichage d’une simple fenêtre popup leur indiquant d’arrêter de jouer avec le site jusqu’à une mise en liste noire. Grâce à la prise d’empreinte des navigateurs attaquants, les entreprises dotées de multiples appliances (filiales, par exemple) peuvent mettre en commun leurs informations sur les profils des pirates. A condition, bien entendu, d’avoir les ressources nécessaires pour laisser un expert sécurité garder un oeil sur les attaquants… L’utilité d’une telle solution est, au mieux, limitée, mais son originalité est en revanche indiscutable !

La présentation de l’appliance sur le site de Mykonos Software

Greenidea expose vos message de sécurité. A l’opposé des solutions très techniques présentées jusqu’à maintenant, Greenidea fait dans la simplicité. L’éditeur se spécialise en effet dans les outils de sensibilisation à la SSI. Il se propose notamment de relayer les messages-clés de vos programmes en cours via des bandes dessinées et des animations qui pourront apparaître au moment du login de chaque utilisateur ou comme économiseur d’écran. Baptisée Visible Statement, l’offre permet de personnaliser et de changer les messages à loisir. La solution s’installe localement mais elle est alimentée par Greenidea qui se charge de mettre à jour les animations et les messages, tout en offrant bien entendu à l’entreprise la possibilité de gérer ses propres messages et même ses propres animations si elle le souhaite.

Le site de Greenidea