Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hack In Paris : le temps, facteur clé de la sécurité ?

juin 2012 par Emmanuelle Lamandé

La manière dont est pensée la SSI aujourd’hui est globalement un échec, constate Winn Schwartau, Fondateur de la société The Security Awareness Company (SAC), à l’occasion de Hack In Paris. Peu d’entreprises ont une vision claire et précise des risques, ni des impacts potentiels d’un incident de sécurité. Il est, de plus, quasiment impossible de mesurer l’efficacité réelle d’une solution de sécurité dans le monde virtuel. Pour ce faire, il propose de s’appuyer sur la méthodologie TBS (Time Based Security). Le temps deviendrait alors le facteur clé de la sécurité.

La guerre s’est accélérée, dans notre monde moderne et virtuel, observe Winn Schwartau, Fondateur de la société The Security Awareness Company (SAC). L’information afflue de toutes parts dans le cybermonde ; sa vitesse de propagation, et par là-même des attaques, s’est démultipliée… rendant inefficace le schéma de « forteresse » communément appliqué dans le monde physique. Ces modifications profondes de l’écosystème nécessitent de redéfinir la façon de protéger son SI et de réagir en cas d’incident.

La manière dont est pensée la sécurité aujourd’hui est globalement un échec. Personne ne sait exactement ce qui se passe sur son réseau, ni quels sont les risques précis et les impacts potentiels. Personne ne sait, non plus, mesurer l’efficacité réelle d’une solution de sécurité dans le monde virtuel, ni déterminer dans quelle mesure elle peut réduire le risque. Une seule chose est sûre, c’est que l’humain est incapable de concevoir des systèmes 100% sécurisés. La seule solution véritablement efficiente en matière de sécurité serait d’interdire aux utilisateurs de se connecter au réseau, ce qui est bien sûr impensable pour le business.

« Tout système de protection peut être contourné, tout est question de temps » explique Winn Schwartau. Si l’on prend le parallèle avec le monde physique, le coffre-fort, par exemple, est un système de protection qui a, certes, fait ses preuves, mais qui n’est pas malgré tout inviolable. Ceux qui voudront forcer votre coffre-fort y arriveront à terme d’une manière ou d’une autre. Viennent alors en balance deux facteurs essentiels que sont la détection et la réaction. En cas de violation du coffre-fort, le temps de détection de l’incident dépendra en grande partie du système d’alarme mis en place. La capacité de réaction se fera, quant à elle, par la mise en œuvre d’un plan de secours (appeler la police…).

Pour lui, les questions essentielles qui doivent se poser en matière de sécurité s’articulent autour d’une notion temporelle : combien de temps mon coffre-fort va-t-il résister ? Combien de temps va-t-il falloir à mon système d’alarme pour détecter l’incident ? Combien de temps faudra-il pour réagir à cette alerte, prévenir les secours… ? Il en est de même dans le monde virtuel.

La méthodologie TBS (Time Based Security) permet, en ce sens, aux RSSI de tester et mesurer de manière quantifiable l’efficacité des solutions de sécurité mises en place et leur résistance aux attaques. Cette méthode permet d’exprimer sous forme de « durée » la viabilité d’une solution, mais aussi d’évaluer financièrement les pertes potentielles ou réelles liées à un incident de sécurité. Elle vise à exprimer le risque en termes financiers et de fréquence. Lorsque l’on mesure le risque de cette manière, il est possible de comparer l’évaluation financière des risques encourus avec le coût d’implémentation des méthodes de protection.

Si l’on part de l’exemple suivant :
 Protection (P) : le coffre fort
 Détection (D) : le système d’alarme
 Réaction (R) : l’agent de police

Le modèle TBS de Schwartau repose sur la formule suivante :
Pt > Dt + Rt

Cela signifie que le temps de fonctionnement, et donc d’efficacité, de votre système de protection doit être supérieur au temps nécessaire à la détection de l’attaque, associé au temps de réaction à cette même attaque. Si tel est le cas, alors vos systèmes peuvent être considérés comme « sécurisés ». Dans le cas contraire, c’est que votre système de sécurité n’est pas efficace. Plus la vitesse de détection et réaction augmente, plus le besoin d’une sécurité plus forte diminue.
Si Pt = Dt + Rt, un autre facteur est alors à prendre en compte : le temps d’exposition (E). Pendant combien de temps mon SI et mes données seront exposés et donc vulnérables ?

La sécurité se mesure donc, selon ce modèle, en secondes, minutes, heures et jours. Il s’agit ainsi pour l’entreprise de déterminer les éléments suivants :
 Combien de temps faut-il pour détecter un incident de sécurité ?
 Combien de temps faut-il pour en avertir les parties concernées ?
 Combien de temps leur faudra-t-il pour l’analyser et y répondre ?
 Combien de temps cela prendra avant que les attaquants n’arrivent à accéder à l’intégralité du réseau ?
 Combien de données sensibles pourront être volées en 1 minute ? En 10 minutes ? …
 Quelle est l’ampleur des dégâts qui pourront être causés pendant le temps de détection et de réaction ?
 Quelle est l’ampleur des dégâts qu’une entreprise pourra supporter ?
 …

Pour chacune de ces questions, différents scénarios devront être envisagés, car le temps de détection ou de réaction varie selon le cas de figure. En effet, le temps ne sera pas le même si l’incident se produit en journée, pendant la pause déjeuner, le soir, le week-end…

Cette évaluation temporelle est primordiale, souligne Winn Schwartau. Si vous ne menez pas à bien cette étape en amont, toutes les mesures de sécurité que vous déploierez seront vaines, car certainement inadaptées. Ainsi, il recommande aux entreprises d’associer le modèle « Time-Based Security » à leur processus de protection. Enfin, elles ne doivent pas hésiter à exiger un minimum de garanties auprès des offreurs.


Voir les articles précédents

    

Voir les articles suivants