{"id":1394,"date":"2003-04-23T19:29:48","date_gmt":"2003-04-23T17:29:48","guid":{"rendered":"https:\/\/destinationcyber.com\/?p=1394"},"modified":"2003-04-23T19:29:48","modified_gmt":"2003-04-23T17:29:48","slug":"securite-des-systemes-dinformation-la-menace-vient-dabord-de-linterieur","status":"publish","type":"post","link":"https:\/\/destinationcyber.com\/?p=1394","title":{"rendered":"S\u00e9curit\u00e9 des syst\u00e8mes d’information : la menace vient d’abord de l’int\u00e9rieur"},"content":{"rendered":"

Chaque employ\u00e9 est potentiellement membre d’une \u00ab 5e Colonne \u00bb \u00e0 l’int\u00e9rieur du r\u00e9seau de l’entreprise. Eduquer et surveiller ses utilisateurs se r\u00e9v\u00e8le urgent.\n<\/p>\n

\u00ab Les math\u00e9matiques sont impeccables, les ordinateurs faillibles, les r\u00e9seaux m\u00e9diocres et les gens pires que tout \u00bb . Si Bruce Schneier, fondateur et PDG de Counterpane Internet Security, et expert en s\u00e9curit\u00e9, fait preuve de cynisme dans son ouvrage (*) , c’est pour mieux insister sur la principale menace de tout syst\u00e8me d’information : le facteur humain. Selon Computer Security Institute (CSI), 60 % des attaques proviennent de l’int\u00e9rieur de l’entreprise. L’ennemi n’est pas le mythique hacker juv\u00e9nile et surdou\u00e9, mais n’importe quel employ\u00e9. <\/p>\n

\u00ab Faute de formation ou d’information, le salari\u00e9, en contournant la s\u00e9curit\u00e9, devient une source potentielle de malveillance \u00bb, explique Marc Blet, directeur de projets chez IntrinSec. Les exemples, relev\u00e9s par les consultants s\u00e9curit\u00e9, ne manquent pas : utilisations abusives de modem RTC et d’acc\u00e8s ADSL pour se connecter \u00e0 son poste de travail depuis son domicile, r\u00e9seaux Wi-Fi sauvages, r\u00e9pertoires partag\u00e9s pour l’\u00e9change de fichiers, ou communication irresponsable de son mot de passe. S’y ajoute l’emploi de ressources professionnelles \u00e0 des fins personnelles, relev\u00e9 par 78 % des entreprises am\u00e9ricaines, selon le CSI. <\/p>\n

Prendre en compte le facteur humain n\u00e9cessite d’abord de sensibiliser les utilisateurs. \u00ab Contr\u00f4ler les employ\u00e9s est une question de d\u00e9marche \u00bb, insiste Olivier Caleff, directeur technique d’Apog\u00e9e Communications. La premi\u00e8re \u00e9tape concerne la communication et l’explication d’une charte de s\u00e9curit\u00e9. \u00ab Elle pr\u00e9viendra de la possibilit\u00e9 d’audits surprises sur les postes de travail afin d’en v\u00e9rifier la correcte utilisation \u00bb, ass\u00e8ne Olivier Caleff. Le but est de jouer de la peur du gendarme. <\/p>\n

Savoir \u00e0 tout moment qui fait quoi<\/p>\n

Quelle que soit la d\u00e9finition de cette politique, elle n’a pour objet que de supporter l’architecture de s\u00e9curit\u00e9 mise en place. Celle-ci doit en priorit\u00e9 tenir compte de trois exigences : le contr\u00f4le d’acc\u00e8s, la gestion des identit\u00e9s et la supervision, les deux premi\u00e8res \u00e9tant cons\u00e9cutives et indissociables. <\/p>\n

Int\u00e9grer la menace repr\u00e9sent\u00e9e par l’utilisateur se r\u00e9sume \u00e0 un objectif : savoir, \u00e0 tout instant, qui fait quoi dans le syst\u00e8me d’information. Ce qui exige de prendre certaines pr\u00e9cautions. \u00ab Il faut s’astreindre \u00e0 des acc\u00e8s nominatifs et ne donner acc\u00e8s \u00e0 l’utilisateur qu’\u00e0 ce dont il a besoin \u00bb, pr\u00e9conise Marc Blet. Les acc\u00e8s nominatifs supposent une gestion des d\u00e9l\u00e9gations d’acc\u00e8s : un stagiaire ne recourra pas au mot de passe de son responsable de stage, mais se verra attribuer des autorisations temporaires en fonction de sa mission. <\/p>\n

La gestion des mots de passe est au coeur de la probl\u00e9matique du contr\u00f4le d’acc\u00e8s. Simplifier l’authentification se r\u00e9v\u00e8le primordial. Sous Windows, le durcissement des mots de passe sert \u00e0 d\u00e9finir des r\u00e8gles de choix de mot de passe par les utilisateurs, comme le m\u00e9lange de caract\u00e8res alphanum\u00e9riques ou une longueur minimale. Cependant, les seules r\u00e8gles de Windows restent insuffisantes. Le recours \u00e0 des tokens (calculette challenge\/response, cartes \u00e0 puces, cl\u00e9s USB) repr\u00e9sente une alternative que les entreprises ne peuvent plus ignorer, malgr\u00e9 son surco\u00fbt. <\/p>\n

\u00c9tablir des cloisonnements<\/p>\n

Hors des tokens, il faut s’en remettre \u00e0 un usage strict des serveurs d’authentification centralis\u00e9s et des protocoles Radius (Remote Authentication Dial-in User Service) et LDAP. Le d\u00e9ploiement d’un projet SSO (Single Sign-On) facilite l’usage des mots de passe. <\/p>\n

\u00ab Pour les grands groupes, la cohabitation de plusieurs r\u00e9f\u00e9rentiels d’authentification constitue leur principal souci \u00bb, conc\u00e8de Olivier Caleff, pour qui le SAML (Security Assertion Markup Language) doit apporter une r\u00e9ponse \u00e0 ce probl\u00e8me d’interop\u00e9rabilit\u00e9. \u00ab Seules 20 % des applications n\u00e9cessiteront 80 % des actions d’authentification ; il n’est donc pas n\u00e9cessaire de tout couvrir \u00bb, ajoute Marc Blet, qui conseille de commencer par \u00e9tapes avec les applications Windows, puis d’\u00e9largir aux PGI de type SAP, mieux support\u00e9s. <\/p>\n

La gestion des identit\u00e9s passe par le cloisonnement des groupes de travail (par exemple production et R&D). Un cloisonnement, du r\u00e9seau cette fois, pose les fondements d’un d\u00e9ploiement de la s\u00e9curit\u00e9 poste \u00e0 poste en liant l’utilisateur \u00e0 l’adresse IP de sa machine. Ce n’est pas la seule voie, selon Olivier Caleff : \u00ab Le cloisonnement intervient \u00e9galement au niveau des requ\u00eates applicatives \u00bb . Ces r\u00e8gles facilitent le travail de supervision par l’analyse des fichiers de logs et la corr\u00e9lation des \u00e9v\u00e9nements. <\/p>\n

Des points simples sont \u00e0 surveiller, comme l’heure d’un \u00e9v\u00e9nement : de nombreuses requ\u00eates sur un serveur \u00e0 l’heure du d\u00e9jeuner doivent alerter. Une r\u00e8gle d’or s’applique : d\u00e8s qu’un utilisateur a outrepass\u00e9 ses droits et trouv\u00e9 une faille, il s’en servira \u00e0 outrance. L’analyse de la volum\u00e9trie des transactions et du nombre de trames circulant sur le r\u00e9seau repr\u00e9sente donc des indicateurs pr\u00e9cieux. Interdire les adresses purement num\u00e9riques dans les requ\u00eates web constitue une autre astuce. \u00ab Ce sont soit des adresses de sites pornographiques, soit des adresses pour lesquelles le DNS est mal renseign\u00e9, donc suspectes \u00bb, justifie Olivier Caleff. L’authentification aupr\u00e8s du proxy doit devenir la r\u00e8gle ; cela responsabilise les utilisateurs. <\/p>\n

Une fois cette politique de s\u00e9curit\u00e9 d\u00e9ploy\u00e9e, le contr\u00f4le de son int\u00e9grit\u00e9 passe par des pr\u00e9cautions simples. Bloquer les acc\u00e8s aux cl\u00e9s de registre emp\u00eache que de nouvelles applications install\u00e9es sur les postes de travail viennent ajouter de nouvelles failles (messageries instantan\u00e9es, clients peer-to-peer en t\u00eate). En mati\u00e8re de s\u00e9curit\u00e9, les bonnes recettes fonctionnant toujours, on compl\u00e9tera ce verrouillage par un outil d’inventaire afin de v\u00e9rifier la conformit\u00e9 des applications install\u00e9es avec le parc logiciel. <\/p>\n

(*) \u00ab Secrets et mensonges \u00ad S\u00e9curit\u00e9 num\u00e9rique dans un monde en r\u00e9seau \u00bb, Bruce Schneier, Vuibert Informatique, 2001. <\/p>\n

Sensibiliser chaque employ\u00e9 \u00e0 la s\u00e9curit\u00e9 <\/p>\n

Appliquer et contr\u00f4ler la politique de s\u00e9curit\u00e9, et ainsi pr\u00e9venir les abus des employ\u00e9s, serait-il un voeu pieu ? Tel est en substance l’avis d’Herv\u00e9 Schauer, fondateur et dirigeant du cabinet Herv\u00e9 Schauer Consultants. Du moins, miser sur des solutions logicielles ou b\u00e2tir une infrastructure lui para\u00eet illusoire. <\/p>\n

\u00ab Je ne crois pas que ces outils permettent d’appliquer une politique de s\u00e9curit\u00e9. Il s’agit d’une question de m\u00e9thode \u00bb , explique-t-il. Fort de son exp\u00e9rience aupr\u00e8s des entreprises, Herv\u00e9 Schauer n’exclut pas un effet inverse de l’utilisation de solutions du commerce \u00e0 cette fin : \u00ab J’ai plut\u00f4t le sentiment que tous ceux qui ont tent\u00e9 de recourir \u00e0 un outil n’ont pas abouti \u00e0 une am\u00e9lioration des choses. De plus, ce sont des solutions co\u00fbteuses et structurantes, et les acheteurs ont tendance \u00e0 d\u00e9ployer toujours plus de syst\u00e8mes. \u00bb <\/p>\n

Remettre en avant l’importance de l’\u00e9vang\u00e9lisation de la s\u00e9curit\u00e9 dans la culture d’une entreprise lui appara\u00eet comme prioritaire pour pallier la faiblesse repr\u00e9sent\u00e9e par le facteur humain. \u00ab Si l’on souhaite faire passer le message aupr\u00e8s des employ\u00e9s, il faut int\u00e9grer \u00e0 leur formation de base la sensibilit\u00e9 \u00e0 la s\u00e9curit\u00e9. Par exemple, lorsqu’une formation \u00e0 un nouveau logiciel est organis\u00e9e, il est bon que celle-ci prenne en compte les aspects s\u00e9curit\u00e9. Le conseil en s\u00e9curit\u00e9 va alors sensibiliser le formateur, et lui demander d’inclure les aspects de mots de passe, de gestion des fichiers, etc., dans sa formation. Cette approche me semble la plus efficace, en g\u00e9n\u00e9ral. \u00bb <\/em>
\n\"5.gif\"
\nEn relation avec le contr\u00f4le d’acc\u00e8s, la gestion des identit\u00e9s centralise le stockage des autorisations des utilisateurs. Objectif : suivre, \u00e0 chaque instant, le parcours de l’employ\u00e9 dans le syst\u00e8me d’information. <\/p>\n

[source – 01net.com] Christophe Dupont<\/p>\n","protected":false},"excerpt":{"rendered":"

Chaque employ\u00e9 est potentiellement membre d’une \u00ab 5e Colonne \u00bb \u00e0 l’int\u00e9rieur du r\u00e9seau de l’entreprise. Eduquer et surveiller ses utilisateurs se r\u00e9v\u00e8le urgent.<\/p>\n","protected":false},"author":1,"featured_media":1393,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-1394","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/1394","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1394"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/1394\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/media\/1393"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1394"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1394"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1394"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}