Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Thi-Mai Le-Trung, consultant Inspearit : La sécurité, une opportunité

avril 2015 par Thi-Mai Le-Trung, consultant Inspearit

La sécurité c’est comme une police d’assurance, lorsque qu’on paye le contrat c’est trop cher, lorsqu’on demande un remboursement c’est trop peu et l’on ne voit pas que cela nous protège au quotidien.

Chacun possède des données en réseau, que ce soit le « père de famille » qui consulte l’état de son compte courant ou le PDG qui veut avoir ses données clients en permanence protégées. Nous sommes tous tributaires de données sur des systèmes d’information (SI).

L’aspect virtuel nous fait sous-estimer la menace. En effet, la divulgation d’un mot de passe sur son poste de travail est beaucoup moins crainte que la perte d’un billet de 10 €. Mais le risque est inverse et de beaucoup.

Un attaquant verra des risques à essayer de subtiliser un billet dans la poche d’un passant, en revanche un ado geek aura un sentiment d’impunité (souvent avéré) à pirater l’ordi portable du voisin qui aura laissé sa connexion WiFi ouverte...

Et là c’est l’ouverture de la boîte de Pandore : tout est possible !

Concrètement, la plupart des postes de travail sont tracés. Cela signifie que le système enregistre dans un fichier les principales actions comme l’ouverture de session, l’envoi d’un message électronique ou la modification d’un fichier, etc.

Pour authentifier l’acteur, deux éléments sont pris en compte :

• l’identité de la machine (techniquement adresse Mac, ou clé VPN, ...),
• et l’utilisateur identifié par son identifiant et son mot de passe.

Donc, en cas d’intrusion sur un poste avec le mot de passe, toutes les actions effectuées sont imputables formellement au détenteur du compte. En clair, un message envoyé dans ces conditions est opposable juridiquement devant un tribunal.

En conséquence, l’utilisateur négligent qui n’aura pas sécurisé son mot de passe se verra pénalement responsable de toutes les actions effectuées par l’intermédiaire de sa connexion WiFi.

Ce tableau est inquiétant, mais l’application simple de procédures permet de diminuer très fortement ce risque. C’est à ce niveau que rentre en jeu l’analyse de risque. En effet, il faut que les mesures mises en place soient proportionnelles (en termes de contrainte, coût et efficacité) aux risques encourus ou plus précisément aux impacts possibles en cas d’attaque.

Sans rentrer aujourd’hui dans les détails de l’analyse de risque, on peut envisager cinq phases dans cette étude.

• La première étape consiste à définir le contexte du SI :
o Les actifs : ce sont les biens matériels ou immatériels qui constituent le patrimoine de l’entreprise. Ils peuvent se classer en deux catégories :
- les biens essentiels qui sont le savoir-faire, les données, les connaissances propres de l’entreprise - c’est son avantage concurrentiel - ce sont les actifs primaires ; 

- les biens support qui sont les machines, réseaux, locaux, serveurs, etc. qui recueillent, stockent, distribuent l’information - en gros, c’est le matériel acheté,
o les contraintes : ce sont toutes les limites financières, légales, réglementaires, temporelles, spatiales que devra respecter le SI dans le cadre de son utilisation,
o les enjeux : exprimés en image de marque, avantage concurrentiel, pertes financières, responsabilité juridique, etc. Les enjeux sont ce que le SI (et l’entreprise) ne veut pas perdre,
o les acteurs : il faut ainsi référencer toutes les personnes internes ou externes qui peuvent avoir accès au SI en tant que clients, utilisateurs, fournisseurs, ou même simples intervenants.
o les menaces : constituées d’un attaquant (humain ou non (ex. la foudre)), volontaire ou involontaire, qui peuvent au travers d’une action porter préjudice au SI.
• La deuxième étape consiste à définir les besoins de sécurité. Généralement, on exprime les besoin de sécurité de chaque information en termes de :
o Disponibilité (availability) : Propriété d’accessibilité au moment voulu des éléments essentiels par les utilisateurs autorisés.
o Intégrité (integrity) : Propriété d’exactitude et de complétude des éléments essentiels. Auxquels on rajoute souvent les outils de détection de toute modification inappropriée.
o Confidentialité (confidentiality) : Propriété des éléments essentiels de n’être accessibles qu’aux utilisateurs autorisés.
• La troisième étape consiste à inventorier les biens support et à en déterminer les vulnérabilités. Durant cette phase il faut aussi caractériser ces vulnérabilités en termes de plausibilité, fréquence, facilité de mise en œuvre, ...

• La quatrième étape consiste à rapprocher les vulnérabilités des biens support des biens essentiels transitant par ces biens support afin de déterminer les risques et les impacts associés.

• La cinquième étape préconise des mesures de sécurité pour éviter, transférer, réduire ou accepter les risques révélés à l’étape quatre. Puis de vérifier leur applicabilité et leur efficacité.

L’application raisonnée d’une méthodologie de ce type permet de réduire très sensiblement, voire de supprimer des risques à un coût acceptable en regard des enjeux, tout en gardant une ergonomie conviviale et supportable.

Ainsi la sécurité peut paraitre contraignante, mais il faut garder en tête que, comme l’assurance, la sécurité vise à protéger les utilisateurs sincères contre les indélicats.

En cas de sinistre celui qui n’a pas payé sa police d’assurance n’est pas remboursé, en Sécurité celui qui n’a pas respecté les procédures n’est pas protégé de ses conséquences.




Voir les articles précédents

    

Voir les articles suivants