Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Eric Leblond, EdenWall Technologies : renouer avec le bon sens paysan !

février 2010 par Eric Leblond, Directeur Technique et Co-fondateur d’EdenWall Technologies

Le principe de précaution s’est imposé ces dernières années de manière incontestable dans le domaine
politique. En un certain sens, il ne s’agit là que d’une certaine expression du bon sens paysan : Si le gel
menace, il faut couvrir de paille les plantes qui craignent le froid. Cependant, c’est dans l’application à la
protection des biens que le bon sens paysan est des plus pertinents : ce n’est pas parce que le poulailler est
clos que l’on a pas de chien de garde pour faire fuir les renards.

Il est intéressant de constater que ces précautions/situations qui semblent saines et compréhensibles
facilement dans la vie courante ne le sont pas du tout dans le monde informatique. Prenons une société et
considérons qu’elle possède un logiciel d’analyse financière. Ce dernier gère les informations clés de
l’entreprise et est donc la poule aux oeufs d’or des applications. Malheureusement, il ne bénéficie pas des
mêmes protections que son homologue à plume : tout le monde peut s’y connecter directement par le
réseau. Sa seule protection est la mire de login, véritable ligne Maginot de l’application. Insuffisante comme
l’originale puisque tous les grands acteurs du logiciel ont connu des failles permettant de contourner la
couche d’authentification.

La technique appliquée à la poule n’est rien d’autre qu’un exemple de défense en profondeur : le chien
empêche les intrus d’approcher et seul les fermiers peuvent rentrer dans le poulailler. C’est la multiplication
des couches de protection qui assure la limitation du risque. En sécurité informatique, la défense en
profondeur est complètement similaire. Les ressources critiques sont protégées par des dispositifs
successifs indépendants qui, par leur action combinée, constituent une défense cohérente et efficace de la
ressource.

Comment pouvons-nous parvenir à appliquer ce principe à une application réseau critique ? On la nommera
Appli (avec un A comme dans ’Attention à moi si ça plante’). Elle utilise un protocole réseau propriétaire non
maitrisé par l’entreprise et il est impossible de juger son niveau de sécurité actuel. L’Appli a en effet connue
par le passé des failles critiques. Si vous pensez ne pas être dans ce cas, demandez-vous si vous avez un
serveur Exchange ou une application basée sur Oracle dans votre SI.

Pour diminuer le risque sur l’Appli, il faut limiter, en amont, le nombre de personnes y ayant accès. Le
recourt à des dispositifs de filtrage par l’identité est une solution. Au niveau réseau, ces dispositifs vont
pouvoir être regroupés en deux catégories :
 Filtrage applicatifs (type reverse proxy)
 Filtrage réseau intégrant la notion d’identité

Revenons-en au bon sens paysan. Un filtrage applicatif est un peu comme l’utilisation d’une poule
mécanique pour garder le poulailler : elle ne peut pas être attaquée de manière frontale par un renard mais
comme elle n’a pas l’odorat développé, le renard peut la contourner et s’attaquer aux poules par un autre
biais. Les filtres applicatifs offrent une protection de choix car ils maitrisent le protocole utilisé. Mais cette
ressemblance avec l’application à protéger les rend vulnérables. Elle empêche de les considérer comme
étant un outil suffisant dans la mise en place de la défense en profondeur.

Ceci nous amène donc à considérer le pare-feu par identité. Son principe est d’être un analogue
informatique au chien éloignant les intrus. En appliquant des règles de filtrage qui ont comme paramètres
des rôles fonctionnels dans l’entreprise, on limite les accès aux applications critiques à des personnes qui
ont, de par leur fonction, accès aux données contenues dans les applications. De plus, ces personnes,
autorisées in fine à accéder à l’information, n’ont pas vocation à chercher à la dérober en contournant la
sécurité existante.

Le deuxième point fort des filtres par identité est d’être indépendant du protocole. La protection est donc
applicable aux applications métier les plus antédiluviennes (ais-je dit application en telnet sur AS400 ?).

Les dispositifs du type pare-feu dit identifiant offrent au sein d’un seul équipement une souplesse et une
qualité de filtrage supérieures. Ils proposent en effet des règles de filtrage où l’identité est l’un des
paramètres (pouvant bien sûr être combiné à l’adresse IP source, au protocole, ...).

Dans le cadre de notre exemple avec l’Appli, on peut donner accès à des ressources d’administration aux
seuls administrateurs. L’accès à l’Application étant limité aux utilisateurs accrédités. En outre, les accès
combinés restent possibles puisqu’un utilisateur pourra être rattaché à la fois au profil administrateur et à celui d’utilisateur.

Ainsi, les systèmes basés sur la défense en profondeur et intégrant des solutions de filtrage par l’identité
sont les seuls à pouvoir garantir la mise en place de politiques de sécurité réellement efficaces.


Voir les articles précédents

    

Voir les articles suivants