Introduction

La sécurité est au cœur de tout ce que nous faisons depuis la création de Sophos. Cette approche axée sur la sécurité est la raison pour laquelle des centaines de milliers d’entreprises ont choisi de protéger des centaines de millions d’appareils avec les solutions Sophos.

Sophos Central est notre plate-forme de sécurité Cloud phare. Conçue par nos soins de A à Z, elle offre une technologie de sécurité de pointe tout en garantissant une protection efficace et complète des données.

Ce document examine Sophos Central en détail, son développement, son déploiement et sa maintenance, ainsi que la nature des données collectées, leur emplacement de stockage, la manière dont ces données sont protégées et diverses autres mesures prises par Sophos pour fournir la plate-forme de sécurité la plus avancée et la plus sécurisée du marché.

Développement sécurisé

La sécurité devrait être prise en compte dès la conception d’un projet et non par la suite. Pour ce faire, nous avons mis en place un protocole de Cycle de vie du développement sécurisé (SDL) basé sur les activités de Sophos. Le SDL veille à ce que les meilleures pratiques de l’industrie soient appliquées à chaque étape du développement d’un produit.

Dans ce cadre, nous recommandons que toutes les équipes de développement de produits nomment au sein de leur équipe un responsable des activités liées au SDL, de préférence quelqu’un ayant des connaissances en sécurité. Vous trouverez ci-dessous la description d’un certain nombre de ces activités.

L’objectif de chaque activité est d’identifier les domaines à risque bien avant le lancement du produit. Ainsi, l’équipe d’ingénieurs dispose de plus de temps possible de résoudre des problèmes éventuels avant l’expédition des produits et des services aux clients.

Codage sécurisé

Pour éviter et réduire de manière significative l’introduction accidentelle de vulnérabilités logicielles, les ingénieurs sont formés pour identifier et éviter les pratiques de codage et les modèles de conception risqués, et employer des modèles de conception plus résistants.

Mécanisme de dépendance de vulnérabilités

Lorsque du code externe, provenant par exemple d’un logiciel Open Source, est utilisé dans un produit, chaque équipe doit établir une liste de dépendances tierces afin d’être avertie automatiquement en cas de détection d’une nouvelle vulnérabilité dans le code tiers. Ceci lui permettra de concevoir et de publier un correctif aussi rapidement que possible en cas de besoin.

Modélisation des menaces

Une analyse systématique de toutes les conceptions ou mises en place de systèmes ou de composants est effectuée du point de vue de l’auteur du piratage. Les menaces sont identifiées en examinant les stratégies que pourrait utiliser le criminel, ce qu’il pourrait considérer comme des faiblesses et les méthodes qu’il utiliserait pour les exploiter. Chaque menace se voit attribuer un niveau de risque, afin de les classer par ordre de priorité, de sorte que les contrôles, mesures de prévention ou modifications nécessaires puissent être mis en place.

Analyse statique

L’analyse du code source se fait au moyen d’outils automatisés, permettant de rapidement mettre en évidence les erreurs de codage, les vulnérabilités, les modèles de conception défectueux ou faibles. Parallèlement à ceci, nous pratiquons la programmation en binôme, permettant au code d’être revu et évalué par des êtres humains tout au long du cycle de développement.

Programmes de test de la sécurité en interne

Chaque équipe, qu’elle travaille sur un système ou un composant, élabore un plan de test complet. Ce plan inclut à la fois des tests en boîte blanche et en boîte noire, des contrôles d’unité, d’intégration et de système, la couverture du code, des tests fonctionnels, le « fuzzing » (ou test à données aléatoires) et des tests de scénarios d’utilisation, etc.

Test de la sécurité en externe

Nous utilisons régulièrement des testeurs externes ou des testeurs de pénétration réputés qui testent notre code en boîte blanche afin d’identifier les menaces qui nous auraient échappées.

Plan de réponse aux vulnérabilités

En cas de détection d’une vulnérabilité dans l’un de nos produits (par des tests internes, des tests externes, ou par le biais de notre programme « bug-bounty »), une série de procédures permet de répondre rapidement au problème en développant, approuvant et publiant le correctif ou la mise à jour requise.

Signature de code sécurisée

En plus de signer des exécutables, comme le font la plupart des logiciels pour terminaux, nous utilisons dans Sophos Central la signature de code avant le déploiement sur les systèmes orientés client pour garantir qu’aucune modification de code ou corruption ne puisse se produire après la signature. Cela garantit que les clients reçoivent et utilisent le même code que nous avons testé et approuvé.

Plate-forme Sophos Central

Sophos Central est hébergé sur Amazon Web Services, sur un certain nombre d’instances et de services de machines virtuelles qui s’adaptent de manière dynamique à la charge de travail actuelle de Sophos Central.

Lors de la création d’un compte Sophos Central, il est possible de choisir la région dans laquelle le compte est configuré. Ces régions sont totalement indépendantes et les données ne sont pas déplacées entre elles.

À l’heure actuelle, les options sont l’Allemagne, l’Irlande et les États-Unis. Les régions Sophos Central correspondent aux régions EU-Central-1, EU-West-1, US-East-2 et US-West-2 d’AWS.

Sophos Central est une application Cloud native, résultant d’une collaboration assidue avec notre partenaire Amazon visant à créer une application hautement disponible et durable. Toutes les données sont géorepérées dans la région sélectionnée par le client. Elles sont répliquées sur plusieurs centres de données (zones de disponibilité) fournis par Amazon dans chaque région, pour fournir un basculement harmonieux en cas de défaillance au niveau de l’infrastructure. Toutes les données du client sont verrouillées dans une région donnée et ne peuvent pas être transférées vers une autre.

Sophos Central utilise des bibliothèques logicielles connues, largement utilisées et conformes aux normes de l’industrie pour prévenir contre les vulnérabilités courantes (couvertes dans le Top Ten de l’OWASP). En utilisant des bibliothèques standard, nous bénéficions du niveau élevé de contrôle auquel elles sont soumises, non seulement en termes de sécurité, mais aussi de stabilité.

Figure: Architecture Sophos Central

Sécurité physique

Comme l’infrastructure physique de Sophos Central est maintenue par Amazon, il y a une séparation des responsabilités. En bref, Amazon est responsable de la sécurité de l’infrastructure Cloud et Sophos de la sécurité du contenu. Le modèle de responsabilité partagée AWS détaille ces responsabilités ici : https://aws.amazon.com/compliance/shared-responsibility-model/

Retrouvez plus de renseignement sur les étapes qu’Amazon prend pour sécuriser son infrastructure et ses services dans leur livre blanc sur la sécurité : https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

Sécurité des réseaux

Auto-protection de l’application runtime

En plus des pratiques de sécurité réseau standard telles que le pare-feu, Sophos Central utilise la technologie d’auto-protection des applications runtime (RASP). En alternative à une protection du périmètre type, la technologie RASP surveille les entrées pour détecter et bloquer les attaques contre Sophos Central en exploitant les renseignements en temps réel contenus au sein de l’application elle-même. Grâce à la technologie d’auto-protection, Sophos Central peut réagir dynamiquement aux attaques, se protéger contre l’exploitation et prendre des mesures alternatives telles que mettre fin à une session ou alerter les équipes de sécurité, pour assurer une protection constante des données.

Réseaux virtuels en mode « auto-scaling »

Sophos Central est divisé en plusieurs réseaux virtuels correspondant aux différentes charges de travail qu’ils exécutent (telles que l’authentification ou la gestion des terminaux). Toutes les charges de travail sont ensuite placées dans des groupes « auto-scaling », derrière un équilibreur de charge. Ceci permet d’affecter des ressources supplémentaires à un groupe donné en cas d’augmentation de sa charge de travail ou du trafic.

Listes de contrôle d’accès réseau

Les groupes de sécurité et les listes de contrôle d’accès au réseau utilisent le principe de moindre privilège. Par défaut, tout service conçu pour être utilisé dans Sophos Central est placé sur un sous-réseau privé qui n’est pas visible en dehors du réseau virtuel. Ces services ne sont pas non plus autorisés à communiquer avec d’autres services, à moins que cela ne soit explicitement nécessaire et que l’accès ait été accordé par l’équipe des services d’infrastructure (CIS) de Sophos Central. Seuls les services destinés à être vus depuis l’extérieur reçoivent une interface publique.

Accès à la base de données

Les bases de données n’ont aucune connexion à Internet, ne sont accessibles qu’au sein du réseau virtuel et sont conservées sur des sous-réseaux privés distincts du reste de l’infrastructure Sophos Central. Les services ayant besoin d’interagir avec une base de données doivent le faire par le biais de la couche d’accès aux données (DAL). Retrouvez plus de renseignements sur la couche d’accès aux données (DAL) à la section Sécurité des données de ce document.

Accès à la maintenance

L’accès à la maintenance de Sophos Central est uniquement disponible via un tunnel VPN provenant d’un réseau spécifique dans l’infrastructure de Sophos. Le tunnel ne peut pas être établi en dehors du réseau de Sophos, même avec des informations d’identification, des clés et des certificats.

Protection contre les attaques DDoS

La prévention contre les attaques par déni de service distribué (DDoS) est effectuée par le biais de technologies de protection DDoS dédiées, l’auto-scaling, la surveillance du système et de la réduction du trafic.

Sécurité des données

Intégrité

Disponibilité

Toutes les données sont stockées dans des clusters de bases de données et au minimum triplées. Avec un facteur de réplication d’au moins trois, la réplication en clusters basée sur les événements garantit que deux instances de base de données dans le cluster peuvent échouer sans conséquence sur la disponibilité des données. Comme le processus de réplication est basé sur les événements plutôt qu’un planning quelconque, toute modification apportée à la base de données est immédiatement transmise à toutes les instances du cluster ce qui permet à l’ensemble des données d’être disponibles sur les toutes les instances de basculement, même en cas de défaillance de l’une d’entre elles.

Durabilité

Chaque instance de base de données possède son propre volume de stockage dont un instantané est capturé toutes les heures. Les instances sont transitoires, seuls les volumes de stockage sont conservés. Ceci, en combinaison avec le facteur de réplication de cluster, nous permet de détruire les instances de base de données sans risquer de perte de données. Les vulnérabilités dans les applications de base de données, les systèmes d’exploitation, etc. peuvent être rapidement résolus sans perdre de données.

Chiffrement

Nous utilisons le chiffrement au niveau du volume pour chiffrer toutes les données inactives telles que les volumes de stockage, le stockage d’objets et les disques virtuels de machines virtuelles.

Dans les volumes de stockage, nous chiffrons les données utilisateur sensibles au niveau du champ de saisie au moyen d’une clé multi-parties par champ. Ces parties sont formées à partir de plusieurs emplacements différents, y compris un système de gestion de clé. Chaque clé est unique à chaque client et à chaque champ de saisie.

Le chiffrement au niveau du transport permet de sécuriser la communication d’administration entre le logiciel client et la plate-forme Sophos Central via des certificats et la validation du serveur.

Sophos ne stocke ni n’envoie jamais de mots de passe utilisateur sans les chiffrer. Lorsqu’un nouvel utilisateur ouvre un compte, celui-ci doit définir un mot de passe dans le cadre du processus d’activation.

Central Device Encryption

Le module Sophos Central Device Encryption ne stocke pas de clés de chiffrement, mais plutôt les clés de récupération pour les volumes chiffrés par BitLocker et FileVault.

Stockage des clés

Une clé de récupération est générée de manière aléatoire sur les appareils Windows/Mac. Elle est ensuite masquée et envoyée à Sophos Central via notre protocole MCS (Management Communication System) qui est protégé par TLS (Transport Layer Security). Une fois reçue par Sophos Central, elle est démasquée et stockée dans le volume de stockage approprié. La clé de récupération est chiffrée de manière transparente avec AES en plus d’être contenue sur un volume de stockage chiffré. Les métadonnées de la clé de récupération ne sont pas stockées avec la clé de récupération.

Accès aux clés

Dès qu’un administrateur ou un utilisateur lit une clé de récupération à partir de la base de données (par exemple, via le portail administrateur ou libre-service de Sophos Central), cette clé de récupération est marquée comme ayant expiré. Lorsque la clé de récupération est utilisée pour restaurer un appareil et que celui-ci démarre et se synchronise avec Sophos Central, il est informé que la clé de récupération a expiré. L’appareil génère donc une nouvelle clé de récupération et l’envoie à Sophos Central en suivant le processus détaillé ci-dessus. Une fois que Sophos Central confirme avoir reçu la nouvelle clé de récupération, l’ancienne clé de récupération est invalidée sur l’appareil afin de ne plus pouvoir être utilisée. Ceci garantit que chaque clé de récupération peut uniquement être utilisée une seule fois. Les clés de récupération ne sont jamais supprimées dans Sophos Central.

Protection contre les menaces

Antimalware

Sophos Central est conçu de manière à ce que toutes les machines soient sans utilisateur, ne nécessitant aucune interaction, ce qui permet de verrouiller et de renforcer leur sécurité. Les machines sont configurées à partir de sources saines, en partie grâce à notre processus de signature de code numérique sécurisé, et n’exécutent que les logiciels prescrits par les développeurs pour créer une configuration de référence de la machine.

Tout comme les instances de serveur de base de données, les machines qui comprennent Sophos Central peuvent être détruites et reconstruites à tout moment sans perte de données.

Correctif

Toutes les 3 semaines, la configuration de référence des machines virtuelles est mise à niveau pour intégrer les dernières bibliothèques et applications logicielles. Aucune instance de machine virtuelle n’existe plus de 3 semaines. Les anciennes instances sont détruites et les nouvelles instances déployées en fonction de la configuration de référence en vigueur.

Si une vulnérabilité est détectée par le mécanisme de dépendance de vulnérabilités, les tests internes ou externes, le programme « bug bounty » ou d’autres moyens, les correctifs et le redéploiement se font conformément au protocole de réponse aux vulnérabilités.

Contrôle de la sécurité et réponse aux incidents

L’équipe de sécurité mondiale de Sophos surveille toutes les données recueillies par Sophos Central et ses services associés 24h/24, 365j/an. Sophos Central dispose de fonctions d’investigation approfondies en cas de violation de données pour une réponse ultra rapide aux incidents.

Conformité et audits externes

SOC

Sophos est régulièrement soumis à un audit SOC de type 1 et peut fournir l’accès au rapport dans le cadre d’un accord de non-divulgation. L’audit SOC de type 2 est en cours actuellement.

Tests de pénétration

Nous effectuons régulièrement des tests de pénétration internes et externes avec des tiers réputés et pouvons en fournir une attestation dans le cadre d’un accord de non-divulgation.

RGPD

L’engagement de Sophos en matière de protection des données est détaillé sur notre site Web :

https://www.sophos.com/fr-fr/legal/sophos-gdpr.aspx.

Contrôles client

Authentification multifacteur (MFA)

L’authentification multifacteur peut être activée pour tous les administrateurs d’un compte Sophos Central, pour une catégorie d’entre eux seulement ou peut être complètement désactivée. Nous recommandons vivement l’utilisation de l’authentification multifacteur pour vous assurer que l’accès au compte Sophos Central soit impossible en cas de piratage des données d’identification.

Administration déléguée

Une multitude de rôles administratifs prédéfinis peuvent être assignés aux administrateurs afin de limiter l’accès aux données sensibles du journal et les empêcher d’apporter des modifications aux paramètres et aux configurations.

Stratégie de protection contre les menaces

Dans une stratégie de protection contre les menaces, un administrateur peut activer ou désactiver les paramètres suivants qui étendent ou limitent le volume de données partagées en temps réel avec Sophos. Retrouvez plus de renseignements à la section Télémétrie et collecte de données de ce document.

Sophos Live Protection

  • Utiliser Sophos Live Protection pour vérifier les informations sur les menaces les plus récentes dans la base de données en ligne des SophosLabs.
  • Utiliser Sophos Live Protection pendant les contrôles planifiés
  • Envoyer automatiquement les échantillons de malwares aux SophosLabs

Contrôle en temps réel - Internet

  • Bloquer l’accès aux sites Web malveillants
  • Détecter les fichiers de réputation douteuse

Correction

  • Activer l’analyse détaillée des attaques
  • Autoriser le téléchargement du fichier de capture instantanée

Protection à l’exécution (runtime)

  • Détecter le trafic réseau vers les serveurs de commande et de contrôle

Télémétrie et collecte de données

Retrouvez toutes les informations utiles sur les données que nous recueillons et stockons sur les pages suivantes de notre site Web :

Politique de confidentialité de Sophos Group

https://www.sophos.com/fr-fr/legal/sophos-group-privacy-policy.aspx.

Politique de sécurité de l’information des SophosLabs

https://www.sophos.com/fr-fr/legal/SophosLabs -information-security-policy.aspx.

SXL (Sophos Extensible List)

SXL est notre protocole de mise à disposition de données complémentaires pour les appareils, qui utilise les classements les plus récents fournis par SophosLabs. L’opération consiste généralement à envoyer un hachage, une URL ou un fichier à SophosLabs pour recevoir des informations supplémentaires sur l’URL ou le fichier en question. Ce protocole est utilisé dans plusieurs fonctions différentes :

Protection Web

Empêche les utilisateurs de se rendre sur des sites Web connus comme hébergeant du code malveillant ou utilisés à des fins dangereuses.

Contrôle du Web

Extrait la dernière catégorie de site Web pour le filtrage Web sur les appareils.

Sophos Live Protection

Identifie rapidement les fichiers malveillants connus et les bloque avant qu’ils ne puissent s’exécuter. Identifie et bloque les tentatives de communication réseau avec des hôtes malveillants connus. Sophos Live Protection est également utilisé pour déterminer la réputation des fichiers téléchargés.

Prévention des faux positifs

Limite les faux positifs grâce à la collecte d’informations sur les fichiers sains connus.

Analyse détaillée des attaques

Sophos Data Recorder (SDR) est un module d’Intercept X qui consigne toutes les activités système importantes. En cas de détection de code malveillant, une analyse détaillée basée sur un instantané des données recueillies par le SDR est lancée automatiquement. Ces renseignements sont utilisés pour corréler toutes les activités liées au code en question (fichiers, processus, clés de registre, interactions URL/IP) et les télécharger vers Sophos Central.

Il est également possible de télécharger des instantanés contenant les mêmes types de données que pour l’analyse détaillée mais sans rapport avec le code malveillant. Ceux-ci sont désactivés par défaut. Cette fonctionnalité est principalement utilisée pour le support ou le débogage, ou pour partager des données avec l’équipe de développement dans le but d’améliorer les fonctionnalités du produit.

Envoi d’échantillon

Des exemples de fichiers malveillants peuvent être envoyés automatiquement à SophosLabs pour une analyse plus détaillée. Nous conservons actuellement uniquement les fichiers exécutables portables malveillants. Les autres types de fichiers sont supprimés de manière sécurisée.

Mesures supplémentaires

Séparation avec les SophosLabs

Étant donné la nature hautement propriétaire de la recherche, du développement et des opérations quotidiennes dans SophosLabs (comme l’étude des dernières menaces malveillantes et le développement de modèles de Machine Learning), les SophosLabs sont séparés des autres réseaux afin de minimiser les risques de violation de sécurité. De plus, l’exécution, l’analyse et la recherche de malwares sont effectuées sur des systèmes séparés et isolés pour prévenir les infections. Ces efforts d’isolement garantissent que le développement de Sophos Central n’est pas exposé aux risques.

Divulgation responsable et Programmes Bug Bounty pour l’identification de failles

Sophos a une forte présence dans la communauté de chercheurs indépendants et offre un programme Bug Bounty pour récompenser les chercheurs en cas d’identification de failles. Retrouvez toutes les informations utiles dans la Politique de divulgation responsable Sophos sur : https://www.sophos.com/fr-fr/legal/sophos-responsible-disclosure-policy.aspx et sur notre page BugCrowd : https://bugcrowd.com/sophos

Naked Security

NakedSecurity est le blog presse primé de Sophos qui décortique les menaces, vous y trouverez les dernières actualités, des opinions, des conseils, et les recherches sur les problèmes de sécurité des ordinateurs et les dernières menaces Internet.

Nos journalistes et chercheurs constituent une source précieuse d’idées et de suggestions pour le développement de Sophos Central.

Mentions légales

Copyright © 2020 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright.

Sophos, Sophos Anti-Virus et SafeGuard sont des marques déposées de Sophos Limited, Sophos Group et de Utimaco Safeware AG, partout où ceci est applicable. Tous les autres noms de produits et d’entreprises mentionnés dans ce document sont des marques ou des marques déposées de leurs propriétaires respectifs.