Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité

décembre 2008 par Marc Jacob

Aujourd’hui le système d’information des grandes entreprises repose sur une protection périmétrique qui sépare un réseau qualifié d’ « interne » (réseau locaux, réseau WAN) avec des réseaux externes (partenaires métiers, infogérant, nomades…).

La confiance provient de l’existence d’une muraille « imparable » : le pare-feu. D’autres mécanismes de sécurité sont venus s’ajouter au fil des années dans le but de renforcer la « muraille » : reverse proxy, détection d’intrusion ou encore filtrage d’URL. Les besoins d’échanges avec les partenaires ont également amené la création de zones spécifiques isolant les systèmes partagés avec l’extérieur, les DMZ. L’analogie avec le château fort est criante : toute personne à l’intérieur de la muraille est considérée de confiance ; toute personne extérieure est considérée suspecte. Mais cette différenciation a bien souvent conduit à la chute de nombreuses forteresses : un intrus une fois à l’intérieur ne peut pas être détecté et dispose donc d’un large champ d’action…

Une nouvelle orientation pour répondre à l’évolution des besoins : le modèle de l’aéroport

Mais les dernières années ont montré que la muraille de ce château-fort est bien souvent difficile à matérialiser : postes nomades naviguant entre plusieurs réseaux, visiteurs, joint-venture… Et surtout ce concept de muraille ne répond plus aux besoins d’ouverture et de souplesse exprimés à tous les niveaux de l’entreprise (métier, DSI, utilisateur). Il faut plus de mobilité, rationaliser les coûts, ouvrir le réseau vers des partenaires métier (accès aux applications internes, SOA…) et SI (infogérant, développement off-shore…). Afin de répondre à ces besoins, en particulier l’ouverture pour les partenaires et les employés, tout en garantissant un niveau de sécurité approprié, il faut adopter un nouveau modèle de sécurité. Ce nouveau modèle repose sur des principes simples, ceux mis en oeuvre dans les aéroports :
- L’accès est ouvert à tous, qu’il soit interne ou externe : voyageurs, employés, membres de compagnies aériennes…
- Le niveau de contrôle est proportionnel aux ressources accédées. Par exemple, la piste et les avions sont particulièrement contrôlés. Le hall d’accueil l’est moins mais reste sous surveillance. L’objet du modèle aéroportuaire est bien de faciliter l’accès initial et l’utilisation des ressources pour toutes les personnes autorisées quelles qu’elles soient, sans faire de distinction entre « l’interne » et « l’externe ».

Ce modèle correspond à l’évolution des usages du système d’information et permet d’autoriser les besoins évoqués précédemment mais attention il nécessite de repenser la sécurité de son système d’information et d’adopter les principes suivants :
- Protéger l’information au plus près et positionner les mesures de sécurité en fonction des enjeux métiers : création de bulles de sécurité autour des applications, mise en place de sécurité sur les données…
- Augmenter la sécurité des infrastructures internes pour ne pas craindre l’arrivée de flux ou de personnes externes dans le périmètre de l’organisation : garantir la disponibilité du réseau d’interconnexion en nettoyant le trafic (IPS, contrôle d’accès réseau)… et surtout ne plus segmenter à outrance son réseau interne.
- Rationaliser la protection périmétrique pour simplifier l’accès au système d’information : définition d’offre de service, rationalisation des moyens de protection…

La mise en œuvre de ces principes devient aujourd’hui une obligation pour accompagner l’évolution des besoins métiers. Ce mouvement est déjà anticipé par les principaux acteurs du marché et les solutions techniques existent. Les premières mises en œuvre concrètes ont été réalisées et donnent aujourd’hui des résultats satisfaisants en répondant aux attentes des métiers.

Mais ce modèle résistera-t-il aux évolutions fondamentales entraînant même la disparation de la notion de réseau interne appartenant à l’entreprise, en particulier avec l’arrivée des services « in the cloud » ?


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants