Pour travailler sereinement, vivons cachés ! Tel pourrait être le mot d’ordre de Chimere qui a développé une solution de cybersécurité originale. Créée en novembre 2022 par Guillaume-Alexandre Chaizy-Gostovitch et Gabriel Ladet, deux anciens ingénieurs en cybersécurité de chez Thales, cette spin-off du programme d’incubation du groupe, s’est inspirée du réseau Tor (« The Onion Router) », réseau de communication distribué où les échanges entre les utilisateurs ne révèlent pas leur adresse IP.
L’équipe de Chimere a donc repris l’idée de ce réseau distribué pour développer sa propre infrastructure dont il est le seul opérateur afin de maîtriser totalement les bandes passantes et l'implémentation des nœuds qui y prennent part, et ainsi de fournir des performances à la hauteur des attentes des entreprises.
Pour rendre invisibles les applications utilisées par des salariés, mais également ces salariés eux-mêmes, le réseau de Chimere a déployé sur le cloud d’Amazon, et prochainement sur celui d’OVH, des machines qui servent d’intermédiaires.
Pour qu’un utilisateur puisse accéder à l'un de ses logiciels en ligne, sa connexion doit d’abord passer par l’un des intermédiaires choisis aléatoirement (en priorisant le chemin le plus performant à un instant t) du réseau de Chimere. Installé sur les ordinateurs des utilisateurs, un petit programme assure la liaison vers la machine sélectionnée.
Chimere Pour accéder à distance au réseau de son entreprise, la connexion d’un télétravailleur passera par une machine du réseau Chimere. Les pirates ne pourront pas repérer l’application utilisée ni identifier le salarié pour tenter d’infiltrer l’entreprise.
Zero-Trust Network Access
Avec ce mécanisme, les entreprises disposent ainsi d’un darknet, c’est-à-dire un réseau anonymisant qui se superpose à l’internet, pour mettre en relation leurs collaborateurs avec leurs services : une solution RH, une GED (Gestion électronique documentaire), un service de partage de fichiers sur un serveur Windows, une passerelle VPN pour des télétravailleurs… Ces « services » peuvent être aussi des accès distants pour permettre à des prestataires d’effectuer des opérations de maintenance ou créer un compte de messagerie pour un nouveau salarié.
Cette solution supprime ainsi l’exposition des applications en ligne. Grâce aux intermédiaires de Chimere, celles-ci deviennent « invisibles » aux cyberattaquants qui scannent en permanence l’internet pour exploiter une faille dans un logiciel, un pare-feu ou un VPN ou profiter d’un serveur dont la configuration n’a pas été assez sécurisée. Leur objectif ? Infiltrer le réseau pour ensuite récupérer des données critiques ou paralyser le Système d’information (SI) d’une entreprise en chiffrant tous les fichiers (attaque par ransomware ou rançongiciel).
Avec son mécanisme des services cachés, Chimere instaure une démarche appelée Zero-Trust d’accès réseau (ou « Zero-Trust Network Access », ZTNA), un modèle inventé par Gartner en 2019. Mais la force de Chimere est que son réseau repose sur trois caractéristiques qui manquent habituellement aux solutions ZTNA actuellement sur le marché :
Premièrement, la machine intermédiaire ne doit pas être capable de lire les messages entre les clients et le service. Cet aspect est le plus simple à réaliser : il suffit d’intégrer un mécanisme de chiffrement de bout-en-bout.
Le principe de la micro-segmentation
Deuxièmement, l’intermédiaire ne doit pas être capable d'établir de connexion avec le service qui est rendu disponible à travers lui. Seuls les clients autorisés doivent le pouvoir (par exemple, à l’aide d’un élément cryptographique).
Enfin, la responsabilité de la disponibilité de l’intermédiaire est répartie entre plusieurs acteurs et organisations. Cette caractéristique ne sera garantie par Chimere que lorsque son réseau sera participatif, c’est-à-dire intégrant différentes entreprises.
Via une console d’administration, elle-même cachée sur le darknet et dédiée à chaque organisation, les administrateurs réseaux assignent en quelques clics les droits d’accès aux services à leurs utilisateurs, ou les révoquent en temps réel. Ce principe de micro-segmentation et de connexion point-à-point des services et des utilisateurs redéfinit le principe de sécurité périmétrique. Il devient maintenant envisageable d’isoler toutes les ressources du réseau interne les unes des autres, d’empêcher tout flux entrant, et de réduire significativement les risques de mouvements latéraux par les attaquants.
Destinée aux grandes entreprises ayant déjà une bonne maturité en réseaux et en cybersécurité, la solution de Chimere ne peut être installée que sur des ordinateurs sous Windows et des serveurs Linux. L’équipe travaille à la portabilité des agents afin de permettre les interconnexions d’utilisateurs Linux, MacOs, Android et iOS avec des services Windows.
