Etablir une politique de sécurité (firewalls)
Pour contrer les nombreuses menaces liées à l'Internet, il est nécessaire d'établir des moyens de sécurité de base comme point de départ pour un programme de sécurité des systèmes d’information.Pour commencer il faut préalablement connaître les raisons de connexions à l’Internet afin de préciser correctement les services à mettre en place et de définir les configurations matérielle, logicielle et réseau adéquates. Après avoir défini les raisons de développer un plan d’action Internet, un programme de sécurité doit être élaboré pour traiter les risques encourus à court terme comme à long terme.
L'établissement d'une politique de sécurité peut être divisé en quatre parties:
• Analyse de risques
• Planification et développement du programme de sécurité
• Allocation des ressources
• Implémentation et maintenance
L’analyse de risques
L’analyse de risques consiste à identifier les moyens par lesquels la confidentialité des informations, l’intégrité des données et des systèmes, ainsi que l’accessibilité aux informations et aux systèmes peuvent être compromis et à déterminer les conséquences au cas échéant de l’existence d’un trou dans la sécurité afin d’estimer le coût de chacune.
La compromission d’informations et le vol
Il faut partir du principe que toutes données stockées sur des systèmes informatiques peuvent être volées, c’est pourquoi une copie des données est nécessaire. Il faut connaître et classifier les données par ordre d’importance, déterminer les données qui peuvent être exposées à l'Internet.
La destruction des informations
Le coût de remplacement ou de reconstruction des informations si un agresseur devait les détruire, doit être évalué. L’impossibilité temporaire d’accéder aux données n’a pas habituellement de conséquences aussi sévères que ne le fait la destruction des informations, mais elle peut être plus coûteuse parce qu’elle perturbe des opérations commerciales. La destruction d’informations provoquée par une action non autorisée depuis l'Internet est souvent un événement extrêmement compliqué qui demande des ressources et des délais considérables pour l’étudier et y remédier.
Perte d’intégrité des données
L’accès puis la modification ou la destruction - par un intrus malveillant - de fichiers critiques (fichiers systèmes, fichiers de configuration, bases de données, etc.) peut entraîner une perte d’intégrité des données d’un système d’information qui peut s’avérer coûteuse pour une entreprise. En effet, les changements d’intégrité de données peuvent en fait se révéler plus coûteux en heures de travail nécessaires à l’analyse et la restauration que tout autre type d’incident de sécurité.
Perte d’intégrité système ou réseau
Cet incident est l'un des plus courants. L’intrus essaie d’obtenir les droits d'accès du super utilisateur (root sous UNIX) pour modifier les tables de routage et autres fichiers ou programmes qui limitent l’accès aux machines et aux applications que le firewall est supposé protéger. Il peut également agir indirectement par l'utilisation d'un virus ou d'un « cheval de Troie ».La perte d'intégrité système ou réseau a bien sûr des conséquences financières car elle occasionne une perte de fonctionnalité des différentes machines touchées et une perte de temps qui rend difficile la découverte et le rétablissement des changements opérés par l’intrus.
Perte de réputation
Il faut évaluer comment serait affectée la réputation de l’entreprise, les efforts de mercatique (marketing) et d’autres choses du même genre, si les médias devaient publier des informations sur un incident majeur de sécurité Internet dans le réseau de l’entreprise. Par exemple, si une entreprise de jouets voyait les photos de son catalogue Internet remplacées par des photos à caractères pornographiques, les conséquences pourraient être catastrophiques.
Méthodes d’évaluation de risque
Les méthodes d’évaluation de risque varient considérablement de par l’évolution toujours croissante de nouveaux services sur l'Internet et de nouvelles méthodes d’accès.
Il existe plusieurs méthodes d’évaluation de risque. Les quatre suivantes sont les plus utilisées :
La méthode globale
Cette méthode suppose que le risque varie en fonction de l’environnement, mais est constant dans chaque environnement particulier. Une évaluation des risques consisterait à estimer le niveau de menaces pour chaque environnement réseau.Cette méthode n’est ni quantitative ni très précise, mais elle a une certaine valeur pour amener une entreprise à un niveau général de sécurité Internet approprié dans chaque réseau, sans beaucoup investir dans une évaluation des risques.
La méthode "attaque-vulnérabilité"
Dans ce type de méthode, les entreprises inspectent des réseaux qui sont connectés à l'Internet pour déterminer comment les réseaux pourraient être attaqués. En identifiant les grandes méthodes d’attaques qui pourraient être utilisées et quels biens pourraient être atteints si ces méthodes étaient utilisées, les entreprises peuvent dresser une liste de risques qu’elles doivent traiter.Une variante de plus en plus célèbre de cette méthode est qu’un employé compétent sur le plan technique emploie des méthodes d’attaques Internet contre des systèmes et des réseaux internes pour découvrir les vulnérabilités.
La méthode quantitative
Cette méthode associe la puissance des mathématiques au traitement de l’évaluation des risques. Cette méthode est compliquée et consommatrice de ressources. Quantifier le risque venant de l’Internet en particulier est plus proche d’un art que d’une science.
La méthode des "mesures de base"
L’essence de cette méthode est de suivre une norme de précautions ou de mesures nécessaires en employant les commandes de sécurité et les pratiques que des organismes tels que le NIST (National Institute of Standards and Technology) qui ont des services de sécurité compétents, appliquent pour protéger des actifs de calculs et d’informations similaires, sans analyser entièrement les types de menaces et la vraisemblance de chacune d’entre elles.
La planification du programme et son développement
Après avoir identifié les menaces qui pèsent sur le réseau, il faut déduire le niveau acceptable de risques que l’on est prêt à prendre: c'est l'acceptation de risque. Le niveau de risques est suivant le coût de la perte des données et le coût de la mise en place d’un système de sécurité. Le niveau de sécurité désiré peut simplement ne pas être rentable ou il peut avoir des conséquences sur les performances. Une situation extrême pourrait être que l'entreprise décide que les risques dépassent les avantages et que ne pas se connecter à l'Internet est la chose prudente à faire.
Les étapes essentielles de la conception et de la réalisation du programme de sécurité suivent un schéma fixe. Ce ne sont pas les composants fondamentaux de la structure du programme de sécurité qui changeront mais le type de menaces. En effet, les évolutions technologiques seront toujours croissantes et les techniques utilisées par les pirates informatiques pour forcer les dispositifs de sécurité seront de plus en plus diversifiés au fur et à mesure que les technologies apparaîtront. Comme les menaces changent, les risques correspondants changent aussi, ce qui impose de réexaminer régulièrement la pertinence des solutions. Il est important de créer un plan projet qui identifie les composants majeurs du programme, les points que le programme doit traiter et leur synchronisation relative.
Le diagramme suivant résume les étapes essentielles d'un programme de sécurité. L'allocation des ressources qui n'apparaît pas sur ce schéma, intervient tout au long de l'élaboration du programme de sécurité notamment lors de la définition des besoins de l'entreprise, puis au cours de la conception de l'architecture de sécurité dont dépend l'allocation des ressources nécessaires pour l'implémentation et la maintenance de la solution technique.
Fig. 2 Le programme de sécurité
La planification du programme de sécurité se compose des éléments suivants :
• Conception et exigences de l'infrastructure de sécurité
• Etablissement de la politique de sécurité et des procédures associées
• Sensibilisation et formation des utilisateurs
Conception et exigences de l'infrastructure de sécurité
Le programme doit considérer et déterminer plus particulièrement les exigences de l'infrastructure, à savoir :
• L'hétérogénéité et inter-opérabilité des plates-formes
• L'utilisation de protocoles différents
• L'architecture informatique et de sécurité
• Les performances, les capacités, l'évolutivité
Hétérogénéité et inter-opérabilité des plates-formes
Une entreprise utilise généralement l’Internet pour mettre en œuvre plusieurs types de services et de transactions allant de la simple consultation de pages Web au commerce électronique. Les réseaux utilisés en interne peuvent être multiples (Ethernet, Token Ring, FDDI, SNA, ATM, et d’autres) ainsi que les plates-formes (MS Windows, UNIX, Novell, VMS, MVS, ...). L’infrastructure de sécurité doit être adaptée selon les besoins spécifiques de chaque entité du ou des réseaux. La sécurisation de réseaux composés d'ordinateurs personnels n'est pas la même que la sécurisation de stations de travail, de grappes VAX ou de domaines NIS. La problématique qu’il faut étudier est la suivante : comment l'inter-opérabilité affecte-t-elle la sécurité et inversement ?
Utilisation de protocoles différents
Divers protocoles doivent coexister dans un environnement Internet, mais certains apportent moins de sécurité que d’autres. Le protocole TCP/IP a beaucoup d’avantages mais est également plus vulnérable aux attaques comme le trucage et l’observation de réseau (sniffing) que la plupart des autres protocoles. IPX/SPX, qui est moins robuste que TCP/IP, est également vulnérable aux attaques de trucage. Le protocole SNA est moins vulnérable aux attaques de trucage, mais n’est pas aussi pratique dans un environnement de réseau actuel.
Un intrus peut essayer de traverser un firewall qui ignore le trafic IPX, en encapsulant un paquet TCP/IP contenant des commandes malveillantes dans un paquet IPX. Comme la désencapsulation est généralement réalisée à l’arrivée, les commandes contenues dans le paquet TCP/IP peuvent s’exécuter sur l’hôte destination à l’insu du firewall. Inversement et dans certains respects, l'hétérogénéité des protocoles peut être réellement un avantage puisque le trucage IP, par exemple, n'est pas possible dans un environnement IPX. Architecture informatique et de sécurité
Il est généralement plus sûr de minimiser le nombre de portes qui donnent l'accès à l'Internet. Les points d'entrée multiples augmentent la probabilité qu'il y ait au moins un point d'entrée faible fournissant un chemin facile d'accès non autorisé depuis l'Internet, dans le réseau interne.
D'autre part, l'infrastructure de sécurité doit comprendre des manières d'identifier d'isoler, et d'augmenter la sécurité des ressources informatiques particulièrement critiques et précieuses. Les périmètres de sécurité sont un paramètre critique dans la planification d'une infrastructure de sécurité Internet. Leur principale limitation est que si quelqu'un pénètre le périmètre de sécurité - en forçant un firewall, par exemple - peu de dispositifs de défenses supplémentaires sont susceptibles d'être en place pour empêcher une activité non autorisée. C'est pour cette raison qu'il faut définir un ou plusieurs périmètres de sécurité plus internes, à l'aide de firewalls supplémentaires, pour des sous-réseaux critiques du réseau de l'entreprise. Il faut se protéger des attaques Internet mais également des attaques susceptibles de venir du réseau interne.
Performances, capacités, évolutivité
L'infrastructure de sécurité doit avoir une bande passante de réseau suffisante pour permettre le volume de trafic prévisionnel entre l'Internet et un réseau interne tout en fournissant un niveau de sécurité conforme aux besoins opérationnels. Il faut savoir que les dispositifs de sécurité telles que les firewalls peuvent considérablement baisser la capacité de traitement de réseau. L'approche logique pour résoudre ce dilemme est de calculer les bandes passantes possibles avec chaque combinaison de mécanismes de sécurité de réseau.
En plus de tout ceci, l'infrastructure de sécurité doit pouvoir s'adapter aux évolutions technologiques ainsi qu'aux nouveaux besoins toujours croissants de l'entreprise en matière de services mais également en matière de performances.
Etablissement des procédures de sécurité
Une politique de sécurité consiste en un ensemble de directives de gestion qui établissent les buts fonctionnels de l'entreprise, fournissent un cadre de réalisation pour atteindre ces buts, et déterminent les responsabilités et affectations du processus. Le but premier d'une telle politique est la gestion des risques liés au système d'information qui comprend à la fois les risques financiers et les risques de sécurité.
Les procédures comprennent les objectifs de sécurité pour des applications ou des systèmes particuliers et définissent comment les systèmes doivent être pilotés dans des circonstances déterminées pour atteindre ces objectifs. Une procédure peut, par exemple, contraindre un administrateur de supprimer tous les comptes utilisateurs de la plate-forme sur laquelle tourne la partie logicielle du firewall.
Les méthodes de conception et de réalisation d'une politique de sécurité dépendent de la taille de l'entreprise. Une petite entreprise n'éprouvera pas nécessairement le besoin de recourir à une élaboration formalisée. Malgré tout, quelle que soit la taille de l'entreprise concernée, l'établissement de la politique de sécurité et des procédures associées nécessite l'engagement de la direction générale de l'entreprise qui doit informer le personnel, organiser et participer à des réunions, allouer des ressources réelles à la fois en terme de personnel et en terme d'équipement.
Une politique de sécurité efficace doit aussi satisfaire un certain nombre de critères. Elle doit être souple et flexible pour pouvoir s'adapter aux évolutions technologiques mais également aux nouveaux besoins toujours croissants des applications et des utilisateurs, notamment en matière de bande passante, tout en étant facile à mettre en œuvre. Elle doit également être rentable et refléter les objectifs fixés par l'entreprise. Le réalisme est de rigueur. Exiger que les utilisateurs ne choisissent pas de mots de passe faciles à deviner est applicable sur de nombreuses plates-formes telles que des plates-formes VMS qui peuvent rejeter de tels mots de passe. Une telle exigence n'aurait pas de sens sur des stations Windows NT qui ne peuvent effectuer une telle vérification. Le reflet des réalités de l'environnement informatique doit être l'une des vocations d'une politique de sécurité. Enfin, la politique de sécurité Internet doit bien s'intégrer avec la politique générale de sécurité du système d'information.
En vue de sécuriser les services et la connexion Internet, des politiques d'accès et des procédures doivent être établies. La politique doit présenter la position officielle de l'entreprise relativement aux modes d'accès et d'utilisation des services Internet, ainsi que les normes de configuration des équipements réseaux contribuant à la connectivité Internet - dont le firewall et les serveurs (FTP, HTTP, NNTP, etc.) qu'il abrite. Il faut définir aussi bien les services entrants que les services sortants, les types de connexions acceptables (SLIP, PPP, TIA, lignes spécialisées, etc.), le processus d'approbation des connexions mais également une politique d'utilisation acceptable d'Internet (AUP) qui s'attache aux aspects légaux, sociaux, moraux et éthiques.
Sensibilisation et formation des utilisateurs
Afin d'optimiser l'efficacité de la politique de sécurité, le programme de sécurité doit comporter un programme de sensibilisation des utilisateurs. Les utilisateurs doivent coopérer et comprendre l'importance du programme. L'élément humain joue un rôle critique dans l'établissement et le maintien de la sécurité Internet; les mesures techniques seules sont insuffisantes.
Le programme de sensibilisation et de formation à la sécurité Internet a pour objectif que les utilisateurs qu'ils prêtent attention à la sécurité. Un des moyens qui peut être utilisé pour parvenir à éduquer les utilisateurs, est d'inclure dans les résultats professionnels la façon dont sont respectées les règles, comme celle du choix de bons mots de passe, de la protection des informations et de l'utilisation des seuls moyens d'accès autorisés par l'entreprise.
Il est important de définir la portée du programme qui doit être justifié en fonctions des buts fonctionnels de l'entreprise. Il n'est pas nécessaire d'effectuer un grand programme de sensibilisation à travers une entreprise complète si seuls quelques utilisateurs accèdent à l'Internet.
Afin de les impliquer davantage dans le programme de sécurité, les utilisateurs doivent suivre une formation dont les lignes directrices sont les suivantes:
• la gestion des mots de passe et des droits d'accès
• la prévention d'activités illégales comme l'utilisation de logiciels piratés
• la détection des incidents qui doivent être rapportés le plus rapidement possible aux personnes autorisées et compétentes comme la direction informatique et réseau
• la réaction face aux incidents qui a pour but d'éviter que les utilisateurs endommagent plus leurs propres systèmes que le feraient des étrangers (l'action néfaste d'un virus peut être accélérer par un utilisateur non averti)
L’allocation des ressources
Des ressources sont nécessaires pour mener toutes les activités liées au programme de sécurité comme les besoins en personnels qualifiés, mais aussi les contraintes budgétaires et les besoins en matériel, logiciel, réseau.
Les besoins en personnel
La sécurité Internet diffère suffisamment des autres domaines liés aux réseaux informatiques pour justifier l’embauche de personnel supplémentaire spécialisé dans ce domaine. La quantité de personnel supplémentaire nécessaire dépend en grande partie de la manière de se connecter à l'Internet et l’étendue de la connectivité à l'Internet. La sécurité Internet peut être déléguée au fournisseur Internet. Il est également possible de faire appel à des consultants pour pallier des pénuries provisoires de personnel pour garantir la continuité et l’élan dans la construction du programme de sécurité Internet. Dans la majeure partie des offres firewalls, par exemple, des prestations de services sont généralement incluses pour l'étude mais aussi pour l'installation et surtout pour le transfert de compétence.
Les contraintes budgétaires
Les contraintes budgétaires freinent souvent l’évolution du programme de sécurité. L'achat des différentes machines de sécurité ainsi que leur maintenance peuvent s’avérer coûteux. La meilleure méthode est de fixer des priorités de sécurité. On résout le problème de sécurité le plus important puis on finit par le plus insignifiant selon le budget alloué. Une autre méthode est de garantir qu’au moins quelques contraintes de sécurité sont présentes dans chaque partie du réseau.
Les besoins en matériel, logiciel, réseau
La plupart des solutions de sécurité Internet demandent une certaine combinaison de matériels, de logiciels et d’équipements de réseau en plus des contraintes de base comme la bande passante pour réaliser la connectivité à l'Internet. Dans certain cas, l'adoption d’un routeur qui peut filtrer le trafic est une meilleure solution qu’un garde barrière (firewall) parce que le routeur est un composant de réseau indispensable et que le firewall est un composant additionnel qui peut faire baisser les performances du réseau en limitant la vitesse du trafic.
Implémentation et maintenance
Sécuriser l’accès à l’Internet
Pour sécuriser l'accès à l'Internet, plusieurs solutions sont envisageables :
• La déconnexion. Le niveau de sécurité désiré peut simplement ne pas être rentable ou il peut avoir des conséquences sur les performances. La déconnexion peut alors être envisager si les risques sont jugés trop importants par rapport aux avantages.
• La sécurisation des machines individuelles. Le but réel du programme de sécurité étant la protection de l'information, une telle démarche de sécurisation semble logique. Cependant, le coût de la maintenance d'une telle solution, compte tenu de la taille de la plupart des réseaux et l'hétérogénéité du parc informatique, représente un frein au développement d'une telle politique.
• La sécurisation du réseau dans son ensemble. Il s'agit d'établir une notion de périmètre de sécurité et d'identifier deux domaines séparés, le « dedans » et le « dehors ». Le nombre d’interfaces entre ces deux domaines doit être minimal (modems, lignes spécialisées, etc.). La principale difficulté est la définition du périmètre de sécurité. Il faut étudier les conséquences d’une divulgation ou d’une perte de l’information stockée sur une des machines individuelles et déduire la nécessité ou non de l’inclure dans le périmètre. Une fois le périmètre défini, les droits d’accès aux interfaces (flux entrants et flux sortants) doivent être définis scrupuleusement.
• La sécurisation des liaisons de communication. Une solution de plus en plus répandue est le concept de réseaux virtuels privés (Virtual Private Network), qui comprend le chiffrement du réseau de bout en bout, ce qui permet l’établissement d’une connexion sécurisée de n’importe quelle machine vers n’importe quelle autre
Une architecture de sécurité forte se compose d’une sécurisation du réseau dans son ensemble couplée à une sécurisation des machines individuelles. Un périmètre de sécurité ne protège pas contre la menace interne si bien que plusieurs périmètres internes séparant des parties du réseau de certaines autres peuvent être définis. Les réseaux virtuels privés (Virtual Private Networks) représentent un complément idéal à un système de défense périmétrique mais le chiffrement des communications qu’ils mettent en œuvre, consomment des ressources réseaux supplémentaires non négligeables.
Intervention du fournisseur d’accès Internet
En plus de la connexion, beaucoup de prestataires de services Internet (Internet Service Providers) fournissent des fonctions de sécurité qui vont des services de consultation jusqu’à des mesures efficaces de sécurité sur la connexion elle-même. Il peut s’avérer intéressant de déléguer certaines tâches du programme de sécurité à son fournisseur d’accès Internet. Cependant, l’entreprise doit conserver un contrôle complet de la sécurité de ses propres réseaux et de sa connexion Internet.
Le prestataire peut, par exemple, placer des filtres sur son routeur ou son firewall pour bloquer tout trafic qui n’est pas destiné aux machines du réseau interne, limiter les services accessibles aux utilisateurs de l’entreprise.
Il peut également intervenir dans le choix d’une solution de sécurité. Si la solution retenue est une solution firewall, le prestataire peut gérer le firewall pour l’entreprise. Bien que les recommandations du prestataire de services puissent accélérer le processus de choix d’une solution, les solutions potentielles et les recommandations du prestataire de services doivent être évaluées en fonction des besoins de l’entreprise en matière de sécurité, de l’acceptation des risques, des contraintes liées à la politique de sécurité notamment les contraintes budgétaires.
Installation et mise en service de la solution technique
Les règles qui régissent l’installation et la configuration de la solution technique sont présentées dans les chapitres suivants. Différentes architectures sont envisageables pour l’installation d’une solution firewall, par exemple. La configuration des matériels et logiciels composant la solution consiste, entre autres, à l’implémentation des règles d’accès définies dans la politique de sécurité.
Gestion et administration de la solution technique
La gestion et l’administration de la solution technique nécessitent des éléments comme la surveillance et l’audit de sécurité qui permettent de remarquer les intrus externes ou internes qui ont des accès non autorisés aux systèmes de l’entreprise. Ces éléments qui renseignent sur l’activité des machines individuelles ou sur le réseau tout entier, sont décrites dans les chapitres suivants. Leur objectif est de diminuer l’impact des pertes et des dommages suite à une éventuelle intrusion. Les réactions aux incidents doivent être le plus rapide possible. La vitesse d’exécution est primordiale puisque peu de temps suffit pour tout détruire.
Conclusion
Ce chapitre a présenté un ensemble de points clés à traiter pour établir un programme de sécurité efficace. L’importance d’une politique de sécurité dépend de la taille de l’entreprise mais également du degré de connectivité avec l’Internet auquel l’entreprise souhaite accéder. Il est primordial d’avoir conscience qu’il est plus facile de mettre en œuvre une politique de sécurité avant d’effectuer la connexion à l’Internet plutôt qu’après. Comme dit l’adage : « Il vaut mieux prévenir que guérir ».
L'établissement d'une politique de sécurité peut être divisé en quatre parties:
• Analyse de risques
• Planification et développement du programme de sécurité
• Allocation des ressources
• Implémentation et maintenance
L’analyse de risques
L’analyse de risques consiste à identifier les moyens par lesquels la confidentialité des informations, l’intégrité des données et des systèmes, ainsi que l’accessibilité aux informations et aux systèmes peuvent être compromis et à déterminer les conséquences au cas échéant de l’existence d’un trou dans la sécurité afin d’estimer le coût de chacune.
La compromission d’informations et le vol
Il faut partir du principe que toutes données stockées sur des systèmes informatiques peuvent être volées, c’est pourquoi une copie des données est nécessaire. Il faut connaître et classifier les données par ordre d’importance, déterminer les données qui peuvent être exposées à l'Internet.
La destruction des informations
Le coût de remplacement ou de reconstruction des informations si un agresseur devait les détruire, doit être évalué. L’impossibilité temporaire d’accéder aux données n’a pas habituellement de conséquences aussi sévères que ne le fait la destruction des informations, mais elle peut être plus coûteuse parce qu’elle perturbe des opérations commerciales. La destruction d’informations provoquée par une action non autorisée depuis l'Internet est souvent un événement extrêmement compliqué qui demande des ressources et des délais considérables pour l’étudier et y remédier.
Perte d’intégrité des données
L’accès puis la modification ou la destruction - par un intrus malveillant - de fichiers critiques (fichiers systèmes, fichiers de configuration, bases de données, etc.) peut entraîner une perte d’intégrité des données d’un système d’information qui peut s’avérer coûteuse pour une entreprise. En effet, les changements d’intégrité de données peuvent en fait se révéler plus coûteux en heures de travail nécessaires à l’analyse et la restauration que tout autre type d’incident de sécurité.
Perte d’intégrité système ou réseau
Cet incident est l'un des plus courants. L’intrus essaie d’obtenir les droits d'accès du super utilisateur (root sous UNIX) pour modifier les tables de routage et autres fichiers ou programmes qui limitent l’accès aux machines et aux applications que le firewall est supposé protéger. Il peut également agir indirectement par l'utilisation d'un virus ou d'un « cheval de Troie ».La perte d'intégrité système ou réseau a bien sûr des conséquences financières car elle occasionne une perte de fonctionnalité des différentes machines touchées et une perte de temps qui rend difficile la découverte et le rétablissement des changements opérés par l’intrus.
Perte de réputation
Il faut évaluer comment serait affectée la réputation de l’entreprise, les efforts de mercatique (marketing) et d’autres choses du même genre, si les médias devaient publier des informations sur un incident majeur de sécurité Internet dans le réseau de l’entreprise. Par exemple, si une entreprise de jouets voyait les photos de son catalogue Internet remplacées par des photos à caractères pornographiques, les conséquences pourraient être catastrophiques.
Méthodes d’évaluation de risque
Les méthodes d’évaluation de risque varient considérablement de par l’évolution toujours croissante de nouveaux services sur l'Internet et de nouvelles méthodes d’accès.
Il existe plusieurs méthodes d’évaluation de risque. Les quatre suivantes sont les plus utilisées :
La méthode globale
Cette méthode suppose que le risque varie en fonction de l’environnement, mais est constant dans chaque environnement particulier. Une évaluation des risques consisterait à estimer le niveau de menaces pour chaque environnement réseau.Cette méthode n’est ni quantitative ni très précise, mais elle a une certaine valeur pour amener une entreprise à un niveau général de sécurité Internet approprié dans chaque réseau, sans beaucoup investir dans une évaluation des risques.
La méthode "attaque-vulnérabilité"
Dans ce type de méthode, les entreprises inspectent des réseaux qui sont connectés à l'Internet pour déterminer comment les réseaux pourraient être attaqués. En identifiant les grandes méthodes d’attaques qui pourraient être utilisées et quels biens pourraient être atteints si ces méthodes étaient utilisées, les entreprises peuvent dresser une liste de risques qu’elles doivent traiter.Une variante de plus en plus célèbre de cette méthode est qu’un employé compétent sur le plan technique emploie des méthodes d’attaques Internet contre des systèmes et des réseaux internes pour découvrir les vulnérabilités.
La méthode quantitative
Cette méthode associe la puissance des mathématiques au traitement de l’évaluation des risques. Cette méthode est compliquée et consommatrice de ressources. Quantifier le risque venant de l’Internet en particulier est plus proche d’un art que d’une science.
La méthode des "mesures de base"
L’essence de cette méthode est de suivre une norme de précautions ou de mesures nécessaires en employant les commandes de sécurité et les pratiques que des organismes tels que le NIST (National Institute of Standards and Technology) qui ont des services de sécurité compétents, appliquent pour protéger des actifs de calculs et d’informations similaires, sans analyser entièrement les types de menaces et la vraisemblance de chacune d’entre elles.
La planification du programme et son développement
Après avoir identifié les menaces qui pèsent sur le réseau, il faut déduire le niveau acceptable de risques que l’on est prêt à prendre: c'est l'acceptation de risque. Le niveau de risques est suivant le coût de la perte des données et le coût de la mise en place d’un système de sécurité. Le niveau de sécurité désiré peut simplement ne pas être rentable ou il peut avoir des conséquences sur les performances. Une situation extrême pourrait être que l'entreprise décide que les risques dépassent les avantages et que ne pas se connecter à l'Internet est la chose prudente à faire.
Les étapes essentielles de la conception et de la réalisation du programme de sécurité suivent un schéma fixe. Ce ne sont pas les composants fondamentaux de la structure du programme de sécurité qui changeront mais le type de menaces. En effet, les évolutions technologiques seront toujours croissantes et les techniques utilisées par les pirates informatiques pour forcer les dispositifs de sécurité seront de plus en plus diversifiés au fur et à mesure que les technologies apparaîtront. Comme les menaces changent, les risques correspondants changent aussi, ce qui impose de réexaminer régulièrement la pertinence des solutions. Il est important de créer un plan projet qui identifie les composants majeurs du programme, les points que le programme doit traiter et leur synchronisation relative.
Le diagramme suivant résume les étapes essentielles d'un programme de sécurité. L'allocation des ressources qui n'apparaît pas sur ce schéma, intervient tout au long de l'élaboration du programme de sécurité notamment lors de la définition des besoins de l'entreprise, puis au cours de la conception de l'architecture de sécurité dont dépend l'allocation des ressources nécessaires pour l'implémentation et la maintenance de la solution technique.
Fig. 2 Le programme de sécurité
La planification du programme de sécurité se compose des éléments suivants :
• Conception et exigences de l'infrastructure de sécurité
• Etablissement de la politique de sécurité et des procédures associées
• Sensibilisation et formation des utilisateurs
Conception et exigences de l'infrastructure de sécurité
Le programme doit considérer et déterminer plus particulièrement les exigences de l'infrastructure, à savoir :
• L'hétérogénéité et inter-opérabilité des plates-formes
• L'utilisation de protocoles différents
• L'architecture informatique et de sécurité
• Les performances, les capacités, l'évolutivité
Hétérogénéité et inter-opérabilité des plates-formes
Une entreprise utilise généralement l’Internet pour mettre en œuvre plusieurs types de services et de transactions allant de la simple consultation de pages Web au commerce électronique. Les réseaux utilisés en interne peuvent être multiples (Ethernet, Token Ring, FDDI, SNA, ATM, et d’autres) ainsi que les plates-formes (MS Windows, UNIX, Novell, VMS, MVS, ...). L’infrastructure de sécurité doit être adaptée selon les besoins spécifiques de chaque entité du ou des réseaux. La sécurisation de réseaux composés d'ordinateurs personnels n'est pas la même que la sécurisation de stations de travail, de grappes VAX ou de domaines NIS. La problématique qu’il faut étudier est la suivante : comment l'inter-opérabilité affecte-t-elle la sécurité et inversement ?
Utilisation de protocoles différents
Divers protocoles doivent coexister dans un environnement Internet, mais certains apportent moins de sécurité que d’autres. Le protocole TCP/IP a beaucoup d’avantages mais est également plus vulnérable aux attaques comme le trucage et l’observation de réseau (sniffing) que la plupart des autres protocoles. IPX/SPX, qui est moins robuste que TCP/IP, est également vulnérable aux attaques de trucage. Le protocole SNA est moins vulnérable aux attaques de trucage, mais n’est pas aussi pratique dans un environnement de réseau actuel.
Un intrus peut essayer de traverser un firewall qui ignore le trafic IPX, en encapsulant un paquet TCP/IP contenant des commandes malveillantes dans un paquet IPX. Comme la désencapsulation est généralement réalisée à l’arrivée, les commandes contenues dans le paquet TCP/IP peuvent s’exécuter sur l’hôte destination à l’insu du firewall. Inversement et dans certains respects, l'hétérogénéité des protocoles peut être réellement un avantage puisque le trucage IP, par exemple, n'est pas possible dans un environnement IPX. Architecture informatique et de sécurité
Il est généralement plus sûr de minimiser le nombre de portes qui donnent l'accès à l'Internet. Les points d'entrée multiples augmentent la probabilité qu'il y ait au moins un point d'entrée faible fournissant un chemin facile d'accès non autorisé depuis l'Internet, dans le réseau interne.
D'autre part, l'infrastructure de sécurité doit comprendre des manières d'identifier d'isoler, et d'augmenter la sécurité des ressources informatiques particulièrement critiques et précieuses. Les périmètres de sécurité sont un paramètre critique dans la planification d'une infrastructure de sécurité Internet. Leur principale limitation est que si quelqu'un pénètre le périmètre de sécurité - en forçant un firewall, par exemple - peu de dispositifs de défenses supplémentaires sont susceptibles d'être en place pour empêcher une activité non autorisée. C'est pour cette raison qu'il faut définir un ou plusieurs périmètres de sécurité plus internes, à l'aide de firewalls supplémentaires, pour des sous-réseaux critiques du réseau de l'entreprise. Il faut se protéger des attaques Internet mais également des attaques susceptibles de venir du réseau interne.
Performances, capacités, évolutivité
L'infrastructure de sécurité doit avoir une bande passante de réseau suffisante pour permettre le volume de trafic prévisionnel entre l'Internet et un réseau interne tout en fournissant un niveau de sécurité conforme aux besoins opérationnels. Il faut savoir que les dispositifs de sécurité telles que les firewalls peuvent considérablement baisser la capacité de traitement de réseau. L'approche logique pour résoudre ce dilemme est de calculer les bandes passantes possibles avec chaque combinaison de mécanismes de sécurité de réseau.
En plus de tout ceci, l'infrastructure de sécurité doit pouvoir s'adapter aux évolutions technologiques ainsi qu'aux nouveaux besoins toujours croissants de l'entreprise en matière de services mais également en matière de performances.
Etablissement des procédures de sécurité
Une politique de sécurité consiste en un ensemble de directives de gestion qui établissent les buts fonctionnels de l'entreprise, fournissent un cadre de réalisation pour atteindre ces buts, et déterminent les responsabilités et affectations du processus. Le but premier d'une telle politique est la gestion des risques liés au système d'information qui comprend à la fois les risques financiers et les risques de sécurité.
Les procédures comprennent les objectifs de sécurité pour des applications ou des systèmes particuliers et définissent comment les systèmes doivent être pilotés dans des circonstances déterminées pour atteindre ces objectifs. Une procédure peut, par exemple, contraindre un administrateur de supprimer tous les comptes utilisateurs de la plate-forme sur laquelle tourne la partie logicielle du firewall.
Les méthodes de conception et de réalisation d'une politique de sécurité dépendent de la taille de l'entreprise. Une petite entreprise n'éprouvera pas nécessairement le besoin de recourir à une élaboration formalisée. Malgré tout, quelle que soit la taille de l'entreprise concernée, l'établissement de la politique de sécurité et des procédures associées nécessite l'engagement de la direction générale de l'entreprise qui doit informer le personnel, organiser et participer à des réunions, allouer des ressources réelles à la fois en terme de personnel et en terme d'équipement.
Une politique de sécurité efficace doit aussi satisfaire un certain nombre de critères. Elle doit être souple et flexible pour pouvoir s'adapter aux évolutions technologiques mais également aux nouveaux besoins toujours croissants des applications et des utilisateurs, notamment en matière de bande passante, tout en étant facile à mettre en œuvre. Elle doit également être rentable et refléter les objectifs fixés par l'entreprise. Le réalisme est de rigueur. Exiger que les utilisateurs ne choisissent pas de mots de passe faciles à deviner est applicable sur de nombreuses plates-formes telles que des plates-formes VMS qui peuvent rejeter de tels mots de passe. Une telle exigence n'aurait pas de sens sur des stations Windows NT qui ne peuvent effectuer une telle vérification. Le reflet des réalités de l'environnement informatique doit être l'une des vocations d'une politique de sécurité. Enfin, la politique de sécurité Internet doit bien s'intégrer avec la politique générale de sécurité du système d'information.
En vue de sécuriser les services et la connexion Internet, des politiques d'accès et des procédures doivent être établies. La politique doit présenter la position officielle de l'entreprise relativement aux modes d'accès et d'utilisation des services Internet, ainsi que les normes de configuration des équipements réseaux contribuant à la connectivité Internet - dont le firewall et les serveurs (FTP, HTTP, NNTP, etc.) qu'il abrite. Il faut définir aussi bien les services entrants que les services sortants, les types de connexions acceptables (SLIP, PPP, TIA, lignes spécialisées, etc.), le processus d'approbation des connexions mais également une politique d'utilisation acceptable d'Internet (AUP) qui s'attache aux aspects légaux, sociaux, moraux et éthiques.
Sensibilisation et formation des utilisateurs
Afin d'optimiser l'efficacité de la politique de sécurité, le programme de sécurité doit comporter un programme de sensibilisation des utilisateurs. Les utilisateurs doivent coopérer et comprendre l'importance du programme. L'élément humain joue un rôle critique dans l'établissement et le maintien de la sécurité Internet; les mesures techniques seules sont insuffisantes.
Le programme de sensibilisation et de formation à la sécurité Internet a pour objectif que les utilisateurs qu'ils prêtent attention à la sécurité. Un des moyens qui peut être utilisé pour parvenir à éduquer les utilisateurs, est d'inclure dans les résultats professionnels la façon dont sont respectées les règles, comme celle du choix de bons mots de passe, de la protection des informations et de l'utilisation des seuls moyens d'accès autorisés par l'entreprise.
Il est important de définir la portée du programme qui doit être justifié en fonctions des buts fonctionnels de l'entreprise. Il n'est pas nécessaire d'effectuer un grand programme de sensibilisation à travers une entreprise complète si seuls quelques utilisateurs accèdent à l'Internet.
Afin de les impliquer davantage dans le programme de sécurité, les utilisateurs doivent suivre une formation dont les lignes directrices sont les suivantes:
• la gestion des mots de passe et des droits d'accès
• la prévention d'activités illégales comme l'utilisation de logiciels piratés
• la détection des incidents qui doivent être rapportés le plus rapidement possible aux personnes autorisées et compétentes comme la direction informatique et réseau
• la réaction face aux incidents qui a pour but d'éviter que les utilisateurs endommagent plus leurs propres systèmes que le feraient des étrangers (l'action néfaste d'un virus peut être accélérer par un utilisateur non averti)
L’allocation des ressources
Des ressources sont nécessaires pour mener toutes les activités liées au programme de sécurité comme les besoins en personnels qualifiés, mais aussi les contraintes budgétaires et les besoins en matériel, logiciel, réseau.
Les besoins en personnel
La sécurité Internet diffère suffisamment des autres domaines liés aux réseaux informatiques pour justifier l’embauche de personnel supplémentaire spécialisé dans ce domaine. La quantité de personnel supplémentaire nécessaire dépend en grande partie de la manière de se connecter à l'Internet et l’étendue de la connectivité à l'Internet. La sécurité Internet peut être déléguée au fournisseur Internet. Il est également possible de faire appel à des consultants pour pallier des pénuries provisoires de personnel pour garantir la continuité et l’élan dans la construction du programme de sécurité Internet. Dans la majeure partie des offres firewalls, par exemple, des prestations de services sont généralement incluses pour l'étude mais aussi pour l'installation et surtout pour le transfert de compétence.
Les contraintes budgétaires
Les contraintes budgétaires freinent souvent l’évolution du programme de sécurité. L'achat des différentes machines de sécurité ainsi que leur maintenance peuvent s’avérer coûteux. La meilleure méthode est de fixer des priorités de sécurité. On résout le problème de sécurité le plus important puis on finit par le plus insignifiant selon le budget alloué. Une autre méthode est de garantir qu’au moins quelques contraintes de sécurité sont présentes dans chaque partie du réseau.
Les besoins en matériel, logiciel, réseau
La plupart des solutions de sécurité Internet demandent une certaine combinaison de matériels, de logiciels et d’équipements de réseau en plus des contraintes de base comme la bande passante pour réaliser la connectivité à l'Internet. Dans certain cas, l'adoption d’un routeur qui peut filtrer le trafic est une meilleure solution qu’un garde barrière (firewall) parce que le routeur est un composant de réseau indispensable et que le firewall est un composant additionnel qui peut faire baisser les performances du réseau en limitant la vitesse du trafic.
Implémentation et maintenance
Sécuriser l’accès à l’Internet
Pour sécuriser l'accès à l'Internet, plusieurs solutions sont envisageables :
• La déconnexion. Le niveau de sécurité désiré peut simplement ne pas être rentable ou il peut avoir des conséquences sur les performances. La déconnexion peut alors être envisager si les risques sont jugés trop importants par rapport aux avantages.
• La sécurisation des machines individuelles. Le but réel du programme de sécurité étant la protection de l'information, une telle démarche de sécurisation semble logique. Cependant, le coût de la maintenance d'une telle solution, compte tenu de la taille de la plupart des réseaux et l'hétérogénéité du parc informatique, représente un frein au développement d'une telle politique.
• La sécurisation du réseau dans son ensemble. Il s'agit d'établir une notion de périmètre de sécurité et d'identifier deux domaines séparés, le « dedans » et le « dehors ». Le nombre d’interfaces entre ces deux domaines doit être minimal (modems, lignes spécialisées, etc.). La principale difficulté est la définition du périmètre de sécurité. Il faut étudier les conséquences d’une divulgation ou d’une perte de l’information stockée sur une des machines individuelles et déduire la nécessité ou non de l’inclure dans le périmètre. Une fois le périmètre défini, les droits d’accès aux interfaces (flux entrants et flux sortants) doivent être définis scrupuleusement.
• La sécurisation des liaisons de communication. Une solution de plus en plus répandue est le concept de réseaux virtuels privés (Virtual Private Network), qui comprend le chiffrement du réseau de bout en bout, ce qui permet l’établissement d’une connexion sécurisée de n’importe quelle machine vers n’importe quelle autre
Une architecture de sécurité forte se compose d’une sécurisation du réseau dans son ensemble couplée à une sécurisation des machines individuelles. Un périmètre de sécurité ne protège pas contre la menace interne si bien que plusieurs périmètres internes séparant des parties du réseau de certaines autres peuvent être définis. Les réseaux virtuels privés (Virtual Private Networks) représentent un complément idéal à un système de défense périmétrique mais le chiffrement des communications qu’ils mettent en œuvre, consomment des ressources réseaux supplémentaires non négligeables.
Intervention du fournisseur d’accès Internet
En plus de la connexion, beaucoup de prestataires de services Internet (Internet Service Providers) fournissent des fonctions de sécurité qui vont des services de consultation jusqu’à des mesures efficaces de sécurité sur la connexion elle-même. Il peut s’avérer intéressant de déléguer certaines tâches du programme de sécurité à son fournisseur d’accès Internet. Cependant, l’entreprise doit conserver un contrôle complet de la sécurité de ses propres réseaux et de sa connexion Internet.
Le prestataire peut, par exemple, placer des filtres sur son routeur ou son firewall pour bloquer tout trafic qui n’est pas destiné aux machines du réseau interne, limiter les services accessibles aux utilisateurs de l’entreprise.
Il peut également intervenir dans le choix d’une solution de sécurité. Si la solution retenue est une solution firewall, le prestataire peut gérer le firewall pour l’entreprise. Bien que les recommandations du prestataire de services puissent accélérer le processus de choix d’une solution, les solutions potentielles et les recommandations du prestataire de services doivent être évaluées en fonction des besoins de l’entreprise en matière de sécurité, de l’acceptation des risques, des contraintes liées à la politique de sécurité notamment les contraintes budgétaires.
Installation et mise en service de la solution technique
Les règles qui régissent l’installation et la configuration de la solution technique sont présentées dans les chapitres suivants. Différentes architectures sont envisageables pour l’installation d’une solution firewall, par exemple. La configuration des matériels et logiciels composant la solution consiste, entre autres, à l’implémentation des règles d’accès définies dans la politique de sécurité.
Gestion et administration de la solution technique
La gestion et l’administration de la solution technique nécessitent des éléments comme la surveillance et l’audit de sécurité qui permettent de remarquer les intrus externes ou internes qui ont des accès non autorisés aux systèmes de l’entreprise. Ces éléments qui renseignent sur l’activité des machines individuelles ou sur le réseau tout entier, sont décrites dans les chapitres suivants. Leur objectif est de diminuer l’impact des pertes et des dommages suite à une éventuelle intrusion. Les réactions aux incidents doivent être le plus rapide possible. La vitesse d’exécution est primordiale puisque peu de temps suffit pour tout détruire.
Conclusion
Ce chapitre a présenté un ensemble de points clés à traiter pour établir un programme de sécurité efficace. L’importance d’une politique de sécurité dépend de la taille de l’entreprise mais également du degré de connectivité avec l’Internet auquel l’entreprise souhaite accéder. Il est primordial d’avoir conscience qu’il est plus facile de mettre en œuvre une politique de sécurité avant d’effectuer la connexion à l’Internet plutôt qu’après. Comme dit l’adage : « Il vaut mieux prévenir que guérir ».
publié par firewals à
07:11
0 commentaires:
Enregistrer un commentaire
Abonnement Publier les commentaires [Atom]
<< Accueil