ExaProtect Technology, l'éditeur de SIM qui monte

ExaProtect Technology est un Petit Poucet qui avance à pas de géant dans le monde des SIM, ces outils qui collectent, agrègent et corrèlent les données des équipements de sécurité (pare?"feu, IDS/IPS, passerelles de sécurité, etc.). Indispensable à toute politique globale de sécurité, leur adoption est largement favorisée par les lois et autres réglementations de type Sarbanes?"Oxley (SOX) ou Loi sur la sécurité financière (LSF).

Un planning des actions urgentes

L'objectif est de permettre l'établissement de tableaux de bord et de donner une visibilité du niveau de sécurité, afin de pouvoir établir un planning des actions urgentes à réaliser.La particularité d'ExaProtect est de fournir une solution simple d'emploi (beaucoup plus simple que certaines), avec notamment une corrélation native en temps réel. Le français a déjà séduit quelques grands noms tels que le ministère du Travail et de la Cohésion sociale, le câblo?"opérateur Noos ou la société de travail intérimaire Adecco.Après avoir lancé la version 2.5 d'EAS en avril dernier à l'occasion du salon Infosecurity, en même temps que son bureau anglais, ExaProtect propose aujourd'hui la version 2.6, avec quelques améliorations notables.' Les principales nouveautés tiennent en trois points, note Christophe Briguet, directeur R&D d'ExaProtect. Nous disposons d'un nouveau modèle de données pour notre entrepôt de données de sécurité. Il regroupe les alertes au format IDMEF (Intrusion detection message exchange format), les incidents au format IODEF (Incident object description and exchange format) et les données de la base de connaissances : inventaire du parc, regroupements des actifs d'activité, SLA et vulnérabilités OSVDB (Open source vulnerability database). ' Un modèle conçu pour séduire les grandes entreprises qui encaissent plus de cent événements par seconde et ne peuvent se contenter d'une base de données à plat.Le deuxième domaine d'amélioration est intéressant du point de vue administratif. Il consiste en un nouveau générateur de rapports qui permet leur personnalisation. La notion indispensable de profils d'utilisateurs avec leurs espaces de travail respectifs est désormais fournie. Des rapports spécifiques liés aux lois et réglementations sont également disponibles (SOX, LSF, Bâle II pour le monde bancaire, HIPAA pour le monde médical, etc.).

Renforcer encore la convivialité

Enfin, dernière nouveauté, les agents de collecte permettent de récupérer les alertes des sondes IDS de Cisco Systems via le protocole RDEP (Remote data exchange protocol).Ce dernier sert à échanger les documents XML entre la sonde et les équipements externes. RDEP remplace le protocole PostOffice (à ne pas confondre avec le protocole de messagerie POP 3). Il utilise une méthode pull pour alerter, contrairement à Post-Office, qui s'appuie sur une méthode push et passe par le port UDP 45000 et un schéma d'adressage propriétaire. À cela s'ajoute un affinage du filtrage, où il est désormais possible de choisir le sens de la communication entre les agents EAS et le serveur EAS (en mode pull ou push).Les ingénieurs d'ExaProtect travaillent sur l'ajout d'assistants pour renforcer la convivialité et sur la notion de domaines avec une segmentation des droits utilisateurs pour visualiser les alertes. Ainsi, les alertes concernant les systèmes Unix?"Linux ne seront visibles que par les administrateurs en charge de ces systèmes. Une cartographie de l'ensemble du système dinformation sera bientôt disponible.