La protection des hôtes (serveurs et postes clients, appelés également endpoints) par le géant californien franchit une étape importante. Tel est du moins l'ambition de la version 4.5 de Cisco Security Agent (CSA).

Rappelons que l'intérêt de CSA est de s'appuyer sur des règles et non sur des signatures. Il appartient à la catégorie des HIDS (ou IDS hôtes), mais on y trouve aussi des éléments complémentaires qui entrent pleinement dans celle des pare-feu personnels distribués.

L'objectif du logiciel est de lutter contre les attaques inconnues telles que celles de vers s'appuyant sur des buffer overflows (débordement de la mémoire tampon). Et cela, même si la société a accusé récemment une faille dans ce domaine, lorsque deux attaques par buffer overflow ont été opérées en moins de cinq minutes sous certaines conditions .

La scalabilité de CSA 4.5 est dopée, puisque la console de management supporte désormais jusqu'à cent mille agents, contre dix mille précédemment. L'architecture de management peut reposer sur un serveur unique pour des PME, ou sur des grappes de serveurs en séparant les composants : serveur web, base de données SQL, serveur de configuration et d'administration.

CSA 4.5 permet de s'assurer que l'antivirus possède bien la bonne version du fichier de définition des signatures requis par la politique de sécurité de l'entreprise, grâce à Cisco Trust Agent, une composante de NAC . Parmi les autres nouveautés, notons la possibilité de vérifier la cohérence des règles. Le module de test permet de tester une seule règle et d'éviter des erreurs de déploiement. Il peut aussi s'appliquer sur une politique de sécurité individuelle.

À ceux qui s'inquiéteraient d'un produit riche et granulaire, rappelons que la politique de sécurité n'a pas pour objectif de changer toutes les semaines en ajoutant un fardeau supplémentaire aux administrateurs. « La politique interne de Cisco CSA date d'août 2003, et non de 2004. Elle devrait bientôt s'affiner », note Pascal Delprat, consultant en sécurité chez Cisco Systems.

Si le rôle de l'administrateur est important, rappelons que CSA fonctionne aussi quand l'utilisateur n'est pas connecté au réseau. L'interactivité a d'ailleurs été renforcée : elle n'est plus limitée à deux options seulement. Un type de règle spécial contrôle les options de l'interface graphique de l'utilisateur. CSA n'emploie pas le mode push. La console envoie un message aux agents, qui iront chercher une mise à jour éventuelle. Le message de la console est un paquet UDP unicast horodaté, signé par la clé privée de la console d'administration.

En France, Cisco référençait vingt-cinq mille agents déployés fin 2004 pour deux grandes entreprises. L'arrivée de l'agent CSA en français devrait faciliter la vie des utilisateurs.