mercredi 16 octobre 2019    || Inscription
BanniereNews
 
 
IMG/jpg/eden_wall_logo-2.jpg

Le principe de précaution s´est imposé ces dernières années de manière incontestable dans le domaine
politique. En un certain sens, il ne s´agit là que d´une certaine expression du bon sens paysan : Si le gel
menace, il faut couvrir de paille les plantes qui craignent le froid. Cependant, c´est dans l´application à la
protection des biens que le bon sens paysan est des plus pertinents : ce n´est pas parce que le poulailler est
clos que l´on a pas de chien de garde pour faire fuir les renards.
Il est intéressant de constater que ces précautions/situations qui semblent saines et compréhensibles
facilement dans la vie courante ne le sont pas du tout dans le monde informatique. Prenons une société et
considérons qu´elle possède un logiciel d´analyse financière. Ce dernier gère les informations clés de
l´entreprise et est donc la poule aux oeufs d´or des applications.

Malheureusement, il ne bénéficie pas des
mêmes protections que son homologue à plume : tout le monde peut s´y connecter directement par le
réseau. Sa seule protection est la mire de login, véritable ligne Maginot de l´application. Insuffisante comme
l´originale puisque tous les grands acteurs du logiciel ont connu des failles permettant de contourner la
couche d´authentification.

La technique appliquée à la poule n´est rien d´autre qu´un exemple de défense en profondeur : le chien
empêche les intrus d´approcher et seul les fermiers peuvent rentrer dans le poulailler. C´est la multiplication
des couches de protection qui assure la limitation du risque. En sécurité informatique, la défense en
profondeur est complètement similaire. Les ressources critiques sont protégées par des dispositifs
successifs indépendants qui, par leur action combinée, constituent une défense cohérente et efficace de la
ressource.

Comment pouvons-nous parvenir à appliquer ce principe à une application réseau critique ? On la nommera
Appli (avec un A comme dans ´Attention à moi si ça plante´). Elle utilise un protocole réseau propriétaire non
maitrisé par l´entreprise et il est impossible de juger son niveau de sécurité actuel. L´Appli a en effet connue
par le passé des failles critiques. Si vous pensez ne pas être dans ce cas, demandez-vous si vous avez un
serveur Exchange ou une application basée sur Oracle dans votre SI.
Pour diminuer le risque sur l´Appli, il faut limiter, en amont, le nombre de personnes y ayant accès.

Le
recourt à des dispositifs de filtrage par l´identité est une solution. Au niveau réseau, ces dispositifs vont
pouvoir être regroupés en deux catégories :
- Filtrage applicatifs (type reverse proxy)
- Filtrage réseau intégrant la notion d´identité
Revenons-en au bon sens paysan. Un filtrage applicatif est un peu comme l´utilisation d´une poule
mécanique pour garder le poulailler : elle ne peut pas être attaquée de manière frontale par un renard mais
comme elle n´a pas l´odorat développé, le renard peut la contourner et s´attaquer aux poules par un autre
biais. Les filtres applicatifs offrent une protection de choix car ils maitrisent le protocole utilisé. Mais cette
ressemblance avec l´application à protéger les rend vulnérables. Elle empêche de les considérer comme
étant un outil suffisant dans la mise en place de la défense en profondeur.

Ceci nous amène donc à considérer le pare-feu par identité. Son principe est d´être un analogue
informatique au chien éloignant les intrus. En appliquant des règles de filtrage qui ont comme paramètres
des rôles fonctionnels dans l´entreprise, on limite les accès aux applications critiques à des personnes qui
ont, de par leur fonction, accès aux données contenues dans les applications. De plus, ces personnes,
autorisées in fine à accéder à l´information, n´ont pas vocation a chercher à la dérober en contournant la
sécurité existante.

Le deuxième point fort des filtres par identité est d´être indépendant du protocole. La protection est donc
applicable aux applications métier les plus antédiluviennes (ais-je dit application en telnet sur AS400 ?).
Les dispositifs du type pare-feu dit identifiant offrent au sein d´un seul équipement une souplesse et une
qualité de filtrage supérieures. Ils proposent en effet des règles de filtrage où l´identité est l´un des
paramètres (pouvant bien sûr être combiné à l´adresse IP source, au protocole, ...).

Dans le cadre de notre exemple avec l´Appli, on peut donner accès à des ressources d´administration aux
seuls administrateurs. L´accès à l´Application étant limité aux utilisateurs accrédités. En outre, les accès
combinés restent possibles puisqu´un utilisateur pourra être rattaché à la fois au profil administrateur à a
celui d´utilisateur.
Ainsi, les systèmes basés sur la défense en profondeur et intégrant des solutions de filtrage par l´identité
sont les seuls à pouvoir garantir la mise en place de politiques de sécurité réellement efficaces.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

BLOCKCHAIN

Conférence et exposition sur les applications d'entreprise de la blockchain à Paris, cité universitaire internationale, les 13 et 14 novembre 2019. Organisés par Corp Agency.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS