Close
  • Français
  • English

08/08/2013Défense en profondeur pour le Système d’information [Par Laurent Bloch, chercheur]

La protection des systèmes d’information (SI), publics ou privés, contre les actes de malveillance et les accidents, n’est perçue comme indispensable que depuis cinq ou six ans, et encore agit-on rarement en conséquence. Au mieux met-on en place une défense périmétrique, qui consiste à bloquer au moyen de pare-feux et de règles de routage appropriées les accès non autorisés au réseau et aux systèmes de l’entreprise.

Avec la prolifération irrésistible des ordinateurs portables, téléphones informatiques et autres tablettes, propriétés de l’entreprise ou de ses salariés, qui volatilisent ledit périmètre, cette méthode est désormais insuffisante. Et que dire de l’informatique en nuage, grâce à laquelle non seulement les données, mais aussi les machines (virtuelles) qui les traitent, se déplacent aux quatre coins de la planète, dans des pays aussi variés que leurs régimes juridiques de protection des données.

La défense périmétrique doit être complétée par une défense en profondeur.

L’idée de défense en profondeur naquit chez les militaires dès lors que l’artillerie à longue portée et le transport de troupes par rail eurent aboli l’espoir d’une ligne de défense infranchissable. Il fallut envisager l’éventualité que l’ennemi franchisse les défenses, et que néanmoins il soit possible de l’arrêter. L’aviation et les missiles ont encore accru l’urgence de cette idée.

Il en va de même pour le SI : il est sûr qu’un jour un utilisateur répondra à un hameçonnage en donnant son mot de passe, que l’antivirus n’aura pas été mis à jour à temps, que les règles du pare-feu laisseront échapper un protocole inédit, que le système de sauvegarde n’aura pas fonctionné, qu’un incendie aura détruit le site de secours. Mais il est peu probable que tout cela se produise le même jour. En outre, même si mon pare-feu laisse passer des connexions indésirables, il en aura réduit les effectifs, ce qui facilitera d’autant le travail du système de détection d’intrusion.

En revanche, si je mise tout sur un dispositif de protection unique, à l’abri duquel je commets des imprudences, le jour où il cède tout est perdu (cf. la ligne Maginot).

Voici une liste (incomplète) de précautions qui relèvent de la défense en profondeur :

[list style=’check’]
[list_item] les ordinateurs inconnus (visiteurs, machines privées) sont cantonnés dans un sous-réseau virtuel aux droits d’accès limités ; [/list_item]
[list_item] les utilisateurs de systèmes sensibles ne sont pas administrateurs de leurs ordinateurs ; [/list_item]
[list_item] les connexions aux serveurs de systèmes sensibles ne sont autorisées ni avec des comptes privilégiés, ni à distance ; [/list_item]
[list_item] utiliser des systèmes d’authentification robustes, comme Kerberos. [/list_item]
[/list]

De telles mesures ont un coût, organisationnel et technique, non négligeable, de ce fait elles doivent être appliquées avec discernement, aux seuls systèmes qui le justifient. En matière de sécurité, le mieux est ennemi du bien, des règles trop pénibles à observer seront contournées par les utilisateurs qui en seraient victimes.

L’entreprise ne saurait donc faire l’économie d’un inventaire de ses systèmes et des niveaux de protection qui leur conviennent. Surtout, elle ne saurait faire l’économie du recours à des ingénieurs de sécurité informatique compétents, fusse par appel à des prestataires extérieurs si sa taille ne permet pas un emploi à plein temps.