Chaque employé est potentiellement membre d’une « 5e Colonne » à l’intérieur du réseau de l’entreprise. Eduquer et surveiller ses utilisateurs se révèle urgent.
« Les mathématiques sont impeccables, les ordinateurs faillibles, les réseaux médiocres et les gens pires que tout » . Si Bruce Schneier, fondateur et PDG de Counterpane Internet Security, et expert en sécurité, fait preuve de cynisme dans son ouvrage (*) , c’est pour mieux insister sur la principale menace de tout système d’information : le facteur humain. Selon Computer Security Institute (CSI), 60 % des attaques proviennent de l’intérieur de l’entreprise. L’ennemi n’est pas le mythique hacker juvénile et surdoué, mais n’importe quel employé.
« Faute de formation ou d’information, le salarié, en contournant la sécurité, devient une source potentielle de malveillance », explique Marc Blet, directeur de projets chez IntrinSec. Les exemples, relevés par les consultants sécurité, ne manquent pas : utilisations abusives de modem RTC et d’accès ADSL pour se connecter à son poste de travail depuis son domicile, réseaux Wi-Fi sauvages, répertoires partagés pour l’échange de fichiers, ou communication irresponsable de son mot de passe. S’y ajoute l’emploi de ressources professionnelles à des fins personnelles, relevé par 78 % des entreprises américaines, selon le CSI.
Prendre en compte le facteur humain nécessite d’abord de sensibiliser les utilisateurs. « Contrôler les employés est une question de démarche », insiste Olivier Caleff, directeur technique d’Apogée Communications. La première étape concerne la communication et l’explication d’une charte de sécurité. « Elle préviendra de la possibilité d’audits surprises sur les postes de travail afin d’en vérifier la correcte utilisation », assène Olivier Caleff. Le but est de jouer de la peur du gendarme.
Savoir à tout moment qui fait quoi
Quelle que soit la définition de cette politique, elle n’a pour objet que de supporter l’architecture de sécurité mise en place. Celle-ci doit en priorité tenir compte de trois exigences : le contrôle d’accès, la gestion des identités et la supervision, les deux premières étant consécutives et indissociables.
Intégrer la menace représentée par l’utilisateur se résume à un objectif : savoir, à tout instant, qui fait quoi dans le système d’information. Ce qui exige de prendre certaines précautions. « Il faut s’astreindre à des accès nominatifs et ne donner accès à l’utilisateur qu’à ce dont il a besoin », préconise Marc Blet. Les accès nominatifs supposent une gestion des délégations d’accès : un stagiaire ne recourra pas au mot de passe de son responsable de stage, mais se verra attribuer des autorisations temporaires en fonction de sa mission.
La gestion des mots de passe est au coeur de la problématique du contrôle d’accès. Simplifier l’authentification se révèle primordial. Sous Windows, le durcissement des mots de passe sert à définir des règles de choix de mot de passe par les utilisateurs, comme le mélange de caractères alphanumériques ou une longueur minimale. Cependant, les seules règles de Windows restent insuffisantes. Le recours à des tokens (calculette challenge/response, cartes à puces, clés USB) représente une alternative que les entreprises ne peuvent plus ignorer, malgré son surcoût.
Établir des cloisonnements
Hors des tokens, il faut s’en remettre à un usage strict des serveurs d’authentification centralisés et des protocoles Radius (Remote Authentication Dial-in User Service) et LDAP. Le déploiement d’un projet SSO (Single Sign-On) facilite l’usage des mots de passe.
« Pour les grands groupes, la cohabitation de plusieurs référentiels d’authentification constitue leur principal souci », concède Olivier Caleff, pour qui le SAML (Security Assertion Markup Language) doit apporter une réponse à ce problème d’interopérabilité. « Seules 20 % des applications nécessiteront 80 % des actions d’authentification ; il n’est donc pas nécessaire de tout couvrir », ajoute Marc Blet, qui conseille de commencer par étapes avec les applications Windows, puis d’élargir aux PGI de type SAP, mieux supportés.
La gestion des identités passe par le cloisonnement des groupes de travail (par exemple production et R&D). Un cloisonnement, du réseau cette fois, pose les fondements d’un déploiement de la sécurité poste à poste en liant l’utilisateur à l’adresse IP de sa machine. Ce n’est pas la seule voie, selon Olivier Caleff : « Le cloisonnement intervient également au niveau des requêtes applicatives » . Ces règles facilitent le travail de supervision par l’analyse des fichiers de logs et la corrélation des événements.
Des points simples sont à surveiller, comme l’heure d’un événement : de nombreuses requêtes sur un serveur à l’heure du déjeuner doivent alerter. Une règle d’or s’applique : dès qu’un utilisateur a outrepassé ses droits et trouvé une faille, il s’en servira à outrance. L’analyse de la volumétrie des transactions et du nombre de trames circulant sur le réseau représente donc des indicateurs précieux. Interdire les adresses purement numériques dans les requêtes web constitue une autre astuce. « Ce sont soit des adresses de sites pornographiques, soit des adresses pour lesquelles le DNS est mal renseigné, donc suspectes », justifie Olivier Caleff. L’authentification auprès du proxy doit devenir la règle ; cela responsabilise les utilisateurs.
Une fois cette politique de sécurité déployée, le contrôle de son intégrité passe par des précautions simples. Bloquer les accès aux clés de registre empêche que de nouvelles applications installées sur les postes de travail viennent ajouter de nouvelles failles (messageries instantanées, clients peer-to-peer en tête). En matière de sécurité, les bonnes recettes fonctionnant toujours, on complétera ce verrouillage par un outil d’inventaire afin de vérifier la conformité des applications installées avec le parc logiciel.
(*) « Secrets et mensonges Sécurité numérique dans un monde en réseau », Bruce Schneier, Vuibert Informatique, 2001.
Sensibiliser chaque employé à la sécurité
Appliquer et contrôler la politique de sécurité, et ainsi prévenir les abus des employés, serait-il un voeu pieu ? Tel est en substance l’avis d’Hervé Schauer, fondateur et dirigeant du cabinet Hervé Schauer Consultants. Du moins, miser sur des solutions logicielles ou bâtir une infrastructure lui paraît illusoire.
« Je ne crois pas que ces outils permettent d’appliquer une politique de sécurité. Il s’agit d’une question de méthode » , explique-t-il. Fort de son expérience auprès des entreprises, Hervé Schauer n’exclut pas un effet inverse de l’utilisation de solutions du commerce à cette fin : « J’ai plutôt le sentiment que tous ceux qui ont tenté de recourir à un outil n’ont pas abouti à une amélioration des choses. De plus, ce sont des solutions coûteuses et structurantes, et les acheteurs ont tendance à déployer toujours plus de systèmes. »
Remettre en avant l’importance de l’évangélisation de la sécurité dans la culture d’une entreprise lui apparaît comme prioritaire pour pallier la faiblesse représentée par le facteur humain. « Si l’on souhaite faire passer le message auprès des employés, il faut intégrer à leur formation de base la sensibilité à la sécurité. Par exemple, lorsqu’une formation à un nouveau logiciel est organisée, il est bon que celle-ci prenne en compte les aspects sécurité. Le conseil en sécurité va alors sensibiliser le formateur, et lui demander d’inclure les aspects de mots de passe, de gestion des fichiers, etc., dans sa formation. Cette approche me semble la plus efficace, en général. »
En relation avec le contrôle d’accès, la gestion des identités centralise le stockage des autorisations des utilisateurs. Objectif : suivre, à chaque instant, le parcours de l’employé dans le système d’information.
[source – 01net.com] Christophe Dupont