Les systèmes et données hautement sensibles sont normalement séparés d’Internet et des autres systèmes moins critiques. Cette séparation est réalisée par l’isolement de ces systèmes critiques, méthode connue sous le nom d’air gap. Bien que cette isolation protège efficacement contre tous risques d’exfiltration de données et d’attaques de logiciels malveillants, le risque de cyberattaques n’est pas nul. Ces dernières peuvent toujours se produire, sous diverses formes. L’attaque Stuxnet, contre le programme nucléaire iranien, en est un exemple.
La mise à jour de tels systèmes isolés par le biais de patchs (ou correctifs), ainsi que le partage des données avec d’autres systèmes, se fait de manière manuelle et nécessite beaucoup de temps. En résulte une certaine contradiction entre, d’une part le cloisonnement des systèmes et données critiques, et de l’autre, les avantages et exigences liées à la numérisation, tel que le partage en temps réel de données au sein d’environnements informatiques opérationnels, géographiquement éloignés.
Pour contrer cette problématique, des solutions de passerelles d’interconnexion sécurisées ou passerelles multiniveaux sécurisées (en anglais : cross domain solutions, CDS) ont été développées au cours de la dernière décennie afin de permettre le transfert, l’accès et l’échange, manuel ou automatique, de données entre domaines et réseaux de niveaux de classification différents.
Ces passerelles sont ainsi un élément essentiel pour permettre les échanges fiables et sécurisés de données protégées. Elles sont particulièrement utiles pour les administrations publiques et certaines entités privées, sujets à certaines obligations depuis la mise en œuvre de la Loi de Programmation Militaire de 2013 et du Décret relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale.[1] Néanmoins, ces solutions hautement sécurisées ne sont pas encore suffisamment connues et employées par les professionnels de la sécurité de l’information, en dehors du monde militaire, du renseignements et des infrastructures critiques. Pourtant, d’autres secteurs pourraient en profiter, afin de mieux répondre aux nouvelles exigences de leurs clients et aux évolutions technologiques.
Quelles sont les spécificités des solutions de passerelles ?
Les passerelles d’interconnexions sécurisées font l’objet d’un processus complexe d’accréditation, mené par les autorités publiques en charge de la sécurité des systèmes d’information. En effet, ces solutions doivent répondre à un ensemble d’exigences strictes, afin d’assurer leur fiabilité et usage au sein d’environnements sensibles. En France, l’ANSSI accordent aux solutions de cybersécurité les plus fiables un visa de sécurité. Celui-ci assure le niveau élevé de sécurité, robustesse et confiance du produit.
Deux points d’attention majeurs, lors de l’évaluation, concernent la sécurité d’approvisionnement et la transparence totale de la chaine de production. Les passerelles doivent également remplir certaines caractéristiques liées à l’architecture de sécurité, hardware et software, comme : bénéficier d’un système d’exploitation renforcé, d’un boitier inviolable, d’une connexion sécurisée renforcée ou encore assurer la séparation des hardwares.
Les passerelles permettent le contrôle, manuel ou automatique, des flux d’informations entre domaines de criticité différente. Des filtres personnalisés peuvent être ajoutés pour certains types de données. Elles peuvent être utilisées dans des environnements complexes et ainsi être exposées à la chaleur, l’humidité, la poussière, des chocs, etc.
Peu d’entreprises ont su développer de telles solutions. Du fait de leurs capacités et caractéristiques uniques, les passerelles sont des produits aux prix relativement élevés.
Les solutions de passerelles résumées
Au sein du marché de la sécurité, les passerelles d’interconnexions sécurisées constituent une niche dans le domaine de la sécurité des données, la DLP (Date Loss Prevention) et la sécurité des réseaux. Actuellement, les passerelles sont des solutions hardware, sous la forme d’appareils, combinés à des pares-feux afin de protéger les domaines liés par une passerelle. Le domaine, le plus critique, détenant des informations sensibles est désigné par l’appellation HIGH (niveau haut), tandis que le second, moins critique, voir public, est nommé LOW (niveau bas).
La solution la plus commune est la diode (data diode). Elle permet le transfert de données dans un sens unique. Pour cela, la plupart des fournisseurs utilisent un câble en fibre optique qui permet la séparation électrique des domaines, à l’instar d’un semi-conducteur. Dans le secteur public, les diodes sont utilisées pour envoyer des données vers un niveau classifié (HIGH). Pour les infrastructures critiques (centrales électriques, raffineries, usines, etc.), les diodes permettent le transfert de données en-dehors du réseau industriel, afin d’assurer son intégrité et sa disponibilité, tout en profitant de la maintenance prédictive. Les diodes hardware peuvent prendre plusieurs formes mais elles sont généralement limitées en matière de vitesse de transmission et du nombre de protocoles pris en charge. Certaines peuvent inclure des filtres de données prédéfinis ou bien offrir une protection antivirus, mais ce n’est que rarement le cas. Il existe aujourd’hui 30 à 40 fournisseurs de telles diodes au monde.
Les passerelles d’interconnexion ou multiniveaux sécurisées sont les termes couramment utilisés pour désigner les dispositifs permettant le transfert bidirectionnel de données. En anglais, on parle de High Assurance Data Guards, d’Information Exchange Gateways ou encore de Security Gateway. Ces solutions permettent d’éviter toute fuite accidentelle ou intentionnelle de données classifiées d’un domaine de niveau HIGH vers un domaine LOW. Les filtres vérifient ainsi chaque transfert de données, jusqu’au niveau binaire, sur un principe de liste blanche : seules les données autorisées à être échangées le sont. Certaines passerelles sont combinées à des fonctions pare-feu, optimisées pour le streaming ou les échanges de mails. Seules une dizaine d’entreprises proposent ce type de solution dans le monde entier.
Les passerelles multiniveaux permettent également de classer de manière sécurisée les données. Cela se fait avec l’aide de machines virtuelles ou encore d’application, de manière manuelle ou automatique. Les données peuvent être étiquetées ou bien classifiées selon les réglementations et directives gouvernementales, en France : Diffusion Restreinte, Secret, Très Secret. Certains labels s’appliquent au sein même du document, d’autres utilisent des micro-fichiers externes Une fois créé, le label devient un élément critique, pour le transfert de données vers un domaine LOW. Il doit donc être protégé contre toute tentative de manipulation. Dans ces cas précis, le label est verrouillé de manière cryptographique.
Pas plus de cinq à six entreprises dans le monde ont réussi à développer de telles passerelles, permettant en plus de classifier les données via des labels sécurisés, en toute conformité avec les autorités publiques.
Perspectives de développement
Du fait des nombreuses exigences gouvernementales en matière d’accréditation et des cycles de test, les solutions de passerelles ont tendance à être en retard sur les progrès techniques récents. Les processus d’accréditation créent également des barrières à l’entrée du marché. Cela permet aux entreprises de fixer des prix élevés, même si leur technologie est en réalité déjà dépassée ou n’offre que des fonctionnalités réduites.
Parmi les domaines de solutions de passerelle qui nécessiteront d’importantes modifications et améliorations, on compte :
- La prise en charge de volumes de données plus importants et une latence plus faible;
- Une solution de passerelle virtuelle (cloud);
- Une meilleure détection et classification des données (notamment par l’intelligence artificielle);
- Un déploiement plus facile;
- De meilleurs filtres les données structurées;
- Une gestion multi-actifs (sous la forme d’un tableau de bord par exemple);
- Une miniaturisation de l’équipement.
Dans le futur, d’autres secteurs industriels critiques comme les services financiers, de la mobilité (voitures connectées, avions, etc.) ou de la santé pourraient être intéressés par ces solutions de passerelles. Les chiffres relatifs au nombre de cyberattaques connaissent en effet une forte de hausse. Selon un rapport de l’ANSSI, les attaques par rançonnage ont cru de 255 % en 2020, soit une multiplication par 4, et la grande majorité d’entre elles ont conduit à une perte et/ou vol de données. Les attaques concernent les établissements de santé mais aussi de plus grandes entreprises comme EDF, Orange, Air France qui ont fait l’objet d’attaques Sandworm entre 2017 et 2020.
Il devient ainsi de plus en plus difficile pour les responsables de la sécurité de l’information et des systèmes de sécurité de trouver le bon équilibre entre le principe de confiance zéro et les besoins de protection des réseaux et du partage de données. Les diodes et passerelles multiniveaux offrent une solution efficace à ces enjeux.
[1] Loi de Programmation Militaire de 2013, Art. 22 ; Décret n° 2015-351 du 27 mars 2015