A l'heure où la sécurité électronique utilise les réseaux informatiques, il convient de s'interroger sur la sécurisation propre à ceux-ci...
Les entreprises sont comme des navires qui voguent dans une mer d’insécurité informatique, et il est des doubles parois et des bouées de sauvetage qu’elles doivent considérer. La vie d’une entreprise est, par essence, tournée vers l’extérieur, vers la communication avec ses partenaires, ses clients et ses collaborateurs en déplacement, via les canaux les plus efficaces et économiques comme Internet et les réseaux sans-fil. Plutôt que de réagir dans l’urgence, il est préférable d’anticiper les menaces et d’être préparé. Ne pas se protéger ou minimiser sa protection, c’est s’exposer aux ennuis. Les dirigeants doivent avoir sur ce point une stratégie adaptée aux réalités. Des budgets doivent être alloués à la protection. Nous nous placerons dans la situation d’une entreprise désireuse de mettre toutes les chances de son côté.
La notion de vulnérabilité
Connais-toi toi-même, disait le philosophe. Il est important d’avoir une bonne vision de son système d’information pour en connaître les points faibles. Pour cela, il est recommandé d’effectuer une analyse des risques encourus. Il est judicieux de réfléchir à ce qui peut intéresser les concurrents ou des espions industriels de pays étrangers, et de se poser la question de la bonne façon de protéger ces données stratégiques, plus encore que le reste du réseau bénéficiant de la protection globale.
La mobilité des collaborateurs est aussi potentiellement une source de vulnérabilité. Les données résidant sur les PC, PDA ou disques durs externes des collaborateurs mobiles doivent être considérées comme partie intégrante du réseau, avec une connexion intermittente. Il faut chiffrer ces données et protéger ces postes contre les contaminations afin qu’ils ne ramènent rien sur le réseau en retour de mobilité. Des moyens de sauvegarde cryptée doivent également être à la disposition des utilisateurs nomades, en ligne ou sur disque externe. Les connexions sans-fil sont comme des portes ouvertes. Toute ouverture du réseau par des connexions sans fil de type Wi-Fi est à surveiller et à protéger. On ne compte plus les réseaux internes d’entreprises si facilement accessibles de l’extérieur par un simple PC portable muni d’une clé USB Wi-Fi.
Aujourd’hui, toutes les entreprises utilisent peu ou prou les mêmes outils, dont les attaques peuvent se propager d’une entreprise à l’autre, comme les vers de messagerie. Les logiciels utilisés sont la première source de vulnérabilité, la seconde étant la façon dont ils sont utilisés. Certains disposent de failles bien connues des assaillants. Une bonne protection passe absolument par des logiciels munis d’une licence valide et bénéficiant de mises à jour en ligne automatiques et fréquentes.
Les origines des menaces
Une entreprise peut être la cible d’une action de déstabilisation. Les sources de menaces sont bien sûr sur Internet, mais aussi sur le réseau interne. Une part non négligeable des attaques de sécurité est en provenance de collaborateurs, pouvant par exemple être dans une situation de départ ou de ressentiment vis-à-vis de l’entreprise. Certains hackers recherchent une collaboration interne à l’entreprise afin de contourner les défenses tournées vers l’extérieur. Une entreprise est vulnérable dès lors qu’elle est connectée à Internet. Elle peut ou non être directement la cible de hackers. S’ils n’agissent pas sur commande, nombreux sont ceux qui passent en revue des plages d’adresses au hasard, avant d’en trouver une peu protégée et où il sera possible de réaliser ce qui est appelé un exploit dans le langage des pirates. Les applications de voix sur IP sont une source potentielle de menaces de types nouveaux.
Les attaques les plus courantes
De l’extérieur, le réseau de l’entreprise n’est vu qu’à travers son adresse IP, et ne donne aucune information quant aux adresses derrière, à des ports ouverts ou à la présence d’un pare-feu matériel ou logiciel. Les attaques de hackers cherchent à abuser de la vulnérabilité d’un port informatique. Sans forcément une volonté de rentrer en intrus sur son réseau à ce moment précis, des mails malveillants peuvent être envoyés à l’entreprise afin de la déstabiliser.
Ils contiendront virus, chevaux de Troie, bots, spams, phishing ou rootkits. Certains logiciels et certains mails, diffusés en tant que virus ou spam, n’ont d’autre but que d’installer à l’insu de tous des outils légers destinés à ouvrir une « backdoor » ou porte dérobée sur un port. Ensuite, le hacker sera comme chez lui et fera comme chez vous.
L’installation par des employés de logiciels de toute nature obtenus gratuitement par des relations qui leur veulent du bien peut aussi être un problème : lors du processus d’installation, des petits programmes annexes appelés bots, dissimulés et au fonctionnement indécelable, peuvent être simultanément installés dans un but d’enregistrement de la frappe du clavier et de transmission de données confidentielles, ou de relais pour envoyer du spam ou des attaques en déni de service. Les attaques sont couramment lancées de cette façon, avec le concours inconscient des utilisateurs eux-mêmes. En ouvrant un mail ou bien même certaines pages web sans avoir une version récente de navigateur, en installant un logiciel de provenance douteuse, on peut installer un bot. Le spear-phishing est la version professionnelle du phishing, adaptée au monde de l’entreprise. Le réceptionnaire lira un message qu’il croira en provenance d’un collègue ou de sa hiérarchie, lui demandant de communiquer une information. Les attaques en déni de service visent, quant à elles, à saturer le réseau de façon à faire perdre des clients et des transactions, donc de l’argent, à l’entreprise.
Les solutions préventives et curatives
Elles dépendent de la complexité du réseau à protéger. Nous nous intéressons ici à la sécurisation d’un site. Les réseaux privés virtuels mis en place par certaines grandes entreprises sont plus complexes à sécuriser.
Tout d’abord, les données doivent être protégées et cryptées de bout en bout durant leurs transferts et leur stockage. En prévention des pré-attaques pouvant installer des backdoors ou des bots, la protection des postes de travail passe par une interdiction absolue aux collaborateurs d’installer un logiciel sur un poste personnel. Si possible, les postes de travail doivent fonctionner sous des comptes d’utilisateurs et non d’administrateur, et non pas avec les anciennes versions de Windows 95 ou 98, que l’on voit encore sur certains postes bureautiques. Les mises à jour des composants de Windows XP ou Vista doivent être autorisées en automatique. Tous les postes doivent être équipés de logiciels antivirus, antispam, anti-spyware et pare-feu avec des licences à jour et des mises à jour valides de bases de données. Des procédures de vérification régulière de l’intégrité des postes doivent être mises en place. Les accès aux postes et, a fortiori, les accès au réseau, doivent être authentifiés. En prévention des attaques réseau, des pare-feu matériels doivent être installés, souvent intégrés aux routeurs. Lessniffers, les IPS (Intrusion Prevention System) ou les IDS (Intrusion Detection System) sont des applications qui surveillent l’activité sur le réseau afin d’en détecter lesanormalités pouvant signifier une intrusion. Pour lutter contre les dénis de service, il suffit souvent d’utiliser les dernières versions à jour des applicatifs des serveurs, ou bien encore de filtrer certaines séquences de paquets de données.
Les systèmes d’exploitation doivent être consolidés, avec une désactivation des services et ports inutilisés. Les accès aux serveurs de bases de données doivent être sécurisés par une politique de mots de passe et de comptes hiérarchisés avec des autorisations restreintes. Quand les infrastructures sont vraiment critiques, il ne faut pas hésiter à développer une redondance des équipements et des câblages, avec basculement automatique.
Quand il est trop tard, il est parfois possible de décontaminer un système d’informations dès lors que le parasite est correctement identifié. Mais on aura souvent recours à une réinstallation totale des systèmes et logiciels, d’où l’intérêt de réaliser par anticipation des clonages de partition valides sur DVD ou disque externe avec des outils du type Norton Ghost.
Notons enfin qu’une action efficace peut aussi consister en l’utilisation de systèmes d’exploitation de réseau et de postes de travail non standards, et moins sensibles aux vagues d’attaques ciblant principalement le monde Windows.
Dans le monde de la mobilité, les téléphones et PDA sont encore caractérisés par une plus forte hétérogénéité de leurs systèmes d’exploitation, ce qui est un frein à la propagation des nuisances.
Les solutions humaines
Il est préférable de disposer d’un responsable de la sécurité qui va surveiller la bonne santé du réseau. Bien souvent, le recours à des experts en sécurité sera nécessaire, au moins ponctuellement, pour une compréhension précise de certains problèmes. S’il est un domaine qui évolue vite, c’est bien celui de la sécurité informatique, avec l’apparition de nouvelles menaces tous les jours. La protection du réseau et les compétences des gens qui en ont la charge doivent être aussi évolutives que les menaces. Certaines sociétés font le pas d’externaliser le maintien de la sécurité de leur réseau à distance. Cela fonctionne bien, et c’est une solution qui assure une bonne réactivité des prestataires qui n’ont pas toujours à se déplacer sur site en cas de problème. Encore faut-il que le réseau soit encore disponible pour un accès distant. Cela pose également quelques questions de confidentialité des informations circulant ou stockées sur le réseau.
Enfin, la sécurité est l’affaire de tous les employés, pas seulement celle des spécialistes. Toute mesure technique de sécurisation du réseau doit être accompagnée d’une éducation du personnel. Chacun dans l’entreprise est un maillon de la sécurité collective. Il convient d’éduquer les utilisateurs à la prudence et à des comportements sur la défensive, voire à la limite de la paranoïa. Il y aurait moins de problèmes si personne n’ouvrait certains e-mails de provenances et d’objets plus que douteux. C’est une question de bon sens, et des formations existent pour ce point important, les pare-feu ne pouvant tout filtrer. La stratégie sécuritaire doit attribuer des niveaux de sensibilité et de responsabilité aux collaborateurs en fonction de la confidentialité des informations qu’ils manipulent.
Et (très) bientôt…
Les interconnexions devraient continuer à se développer entre les entreprises collaborant de façon régulière, comme entre donneurs d’ordres et sous-traitants, et entre les entreprises et les administrations. XML et les technologies utilisant ce format sont en train de faciliter une dématérialisation à terme totale des échanges d’information avec certification.
Les appels d’offres, les devis, les factures, les appels d’impôts et les règlements devraient tous prochainement passer par les réseaux. Certains grands groupes exigent, aujourd’hui, de leurs partenaires sous-traitants des approches sécuritaires afin de minimiser les risques de défaillance d’approvisionnement. Les besoins en sécurité des réseaux seront encore plus pressants, et de nouveaux besoins continueront à apparaître liés aux interconnexions.
Le stockage
La base de la base concerne le stockage des données. Parties intégrantes du réseau, les stockages et les accès à ceux-ci sont les deux points que l’on voudra protéger en priorité. On ne le répètera jamais assez, un disque dur est quelque chose de fragile, qui est soumis à de nombreuses sollicitations dans des conditions de température de fonctionnement pas toujours optimales. Il convient donc de réaliser des sauvegardes régulières et automatisées des données, le mieux étant de faire travailler tout le monde en réseau et de sauvegarder les données de façon centralisée, si possible au moyen de technologies de stockage en mode Raid permettant un double enregistrement simultané des données, et sur des serveurs isolés dans une salle informatique protégée physiquement.
Dans le meilleur cas de figure, ce stockage local doit être complété par une sauvegarde quotidienne à distance pour pallier les risques de vols de serveurs et d’incendie. La survie de l’activité en dépend.
En savoir plus
Cet article est extrait du Magazine APS – numéro 160 d’avril 2007.
Pour plus d’information sur nos publications, contactez Juliette Bonk .
Commentez