04 Juillet 2016

Batir une politique de sécurité

Une politique de sécurité est un ensemble d'éléments stratégiques, de directives, de procédures, de code de conduite et règles organisationnelles et techniques formalisé dans un document ayant pour objectif la protection du (des) système(s) d'information de l'organisme : sociétés, entreprises. Bâtir une politique de sécurité est un projet à long terme visant à mettre en oeuvre une sécurité adaptée aux usages économiquement viable et conforme à la législation en vigueur.

Le plus souvent, il s'agit de bâtir une politique de sécurité prenant en compte les risques aussi bien internes qu'externes, ainsi que la typologie du système d'information, la sécurité devant prendre en compte la spécificité de chaque type de communication. 

Avant tout, il convient de répondre à ces troix questions :

  • Que dois-je protéger en priorité ?
  • Quels sont les risques internes et externes que je cours ?
  • Quels sont les facteurs aggravants de ces risques ?

Que dois-je protéger ?

Pour bâtir une politique de sécurité, il est nécessaire d'établir un état des lieux des usages. Du réseau au contenu, en passant par les systèmes et les applications, les risques potentiels et les implications sont les seules démarches qui garantissent la sécurité globale d'une entreprise.

Chronologiquement, il faut :

Identifier les biens à protéger

  • Les biens matériels et logiciels : les serveurs et les postes de travail (fixes et/ou nomades), les équipements d'interconnexions (routeurs, commutateurs, box/Modem,...), leur localisation ou leur titulaire, le type et la version des logiciels installés.
  • Les données sensibles de l'entreprise (procédés de fabrication, codes sources, données commerciales et administratives, ...).
  • Les services et applications : applications métiers internes et externes communiquant avec le monde extérieur (fournisseurs, site de commerce électronique, applications de gestion). Attention aux services et applications obsolètes et non maintenues mais toujours résidentes dans l'environnement des usagers.

Découvrir les réseaux

Il s'agit de découvrir les interactions des différents matériels/logiciels (entre eux et avec le monde extérieur), d'identifier les vulnérabilités pouvant les affecter, d'identifier les applications qui résident dans les systèmes et qui transitent par le réseau. Cette phase permet, en outre, de comparer l'existant réel avec l'inventaire précédent.

Etape N°1 : Lister les moyens d'accès au "réseau de l'entreprise" depuis le monde externe. Un point d'entrée unique (passerelle d'accès Internet) est plus facile à sécuriser mais il convient de porter une attention particulière aux diverses connexions établies temporairement en dehors de l'entreprise avec des équipements nomades, aux modems/routeurs individuels (permettant la connexion directe à Internet en contournant les sécurités du point d'entrée principal) et aux réseaux locaux sans fils dont le périmètre d'écoute dépasse l'enceinte physique de l'entreprise.

Etape N°2 : Détecter les vulnérabilités des systèmes et applications 

  • Audit des configurations installées et au minimum une veille permanente des vulnérabilités sur les systèmes d'exploitation (www.cert.org);
  • Test des nouvelles mise à jour;
  • déploiement des correctifs de sécurité en commençant par colmater les failles les plus critiques sur les machines les plus sensibles;
  • Application des correctifs, grâce à des outils spécialisés, en prenant soin de gérer la non régression de systèmes.

Etape N°3 : Identifier les flux applicatifs circulant à l'intérieur du réseau d'entreprise (applications métiers, gestion de stocks, paie, ...) et ceux communiquant avec le monde exterieur (messagerie, échange avec des partenaires, ...). Cette étape permettra de découvrir l'usage des réseaux (internes ou externes) et leur bande passante. Elle permettra aussi de découvrir comment les collaborateurs de l'entreprise utilisent les ressources mises à leur disposition pour remplir leurs tâches. Les outils d'analyse de flux utilisés seront par ailleurs très utiles pour détecter les applications (parfois non souhaitées) et juger de leur importance par le volume de leurs flux. Ils permettront aussi de faire le point sur la politique d'accès aux données (connexion et mot de passe par exemple) et de réfléchir à la mise en oeuvre de moyens plus sophistiqués (authentification forte, chiffrement) pour les données les plus sensibles.

Quels sont les risques externes ?

Attaques non ciblées

Toutes les entreprises sont concernées par la propagation des virus ou les attaques distribuées (déni de service) dont l'objectif est la prise de contrôle d'une machine pour l'utiliser à des fins de rebond à une attaque d'un site tiers.

Attaques ciblées

La probabilité de risque physique (vol ou destruction de matériel) et de risque logique (attaques distantes et ciblées pour veille tehnologique, vol ou destruction) augmente sensiblement avec la visibilité (tentation de s'approprier un bien) et leurs facteurs aggravants (high-tech, inovations technologiques, ...).

Quels sont les risques internes ?

La sécurité doit impérativement impliquer tous les collaborateurs qu'il faut former à la mise en oeuvre des politiques de sécurité, car les plus grandes menaces pour la sécurité informatiques des entreprises viennent des utilisateurs eux-mêmes.

Quels sont les facteurs aggravants de ces risques ?

  • Nomadisme et nouvelles technologies.

Postes et équipements nomades (smartphones, tablettes numériques, ordinateurs portables, équipementrs de réseraux sans fils, etc..)

  • Infrastructures, services et applications mal protégées.

Serveurs et postes de travail non mise à jour et donc vulnérables, site web conçu (backdoor), messagerie non protégée (risque de rebond).

  • Plan de sauvegarde inexistant ou incomplet.

L'approche des politiques de sécurité par segmentation

La connaissance acquise au cours de ces phases de découverte et d'inventaire permettra d'élaborer une politique de sécurité pour déployer les moyens de protection adaptés aux usages. la segmentation est la base des politiques de sécurité :

Réseau

La sécurité commence avec le contrôle d'accès appliquant une politique de sécurité personnalisée par site et par groupe de population, pouvant se compléter par une authentification simple ou renforcée.

Maitriser les équipements de communication et d'accès pour limiter la zone de risque.

Système

Les systèmes peuvent être hétérogènes ce qui complexifie leur gestion et leur mise à jour. Par ailleurs, la publication régulière de nouvelles vulnérabilités crée un riques permanent.

Application

Une application Web ouverte, par nature, au monde extérieur présente plus de risques potentiels qu'une application propriétaire (paie, comptabilité, gestion de stocks, base client,..) utilisée par une population limitée.

Contenu

La protection du contenu (fichier de données, image ou texte, programme exécutable, pièce jointe, ...) doit tenir compte de sa dangerosité potentielle, de sa confidentialité pour l'entreprise et des obligations légales.

Comme il est difficile de tout prévoir, faute de temps et de moyens, il conviendra au minimum de prévoir des sauvegardes et peut-être de considérer une couverture complémentaire pour les dommages résultant des attaques. Souscrire une assurance informatique impose de toutes façons un niveau de sécurité minimum.

La mis en oeuvre

Plusieurs possibilités

  • Mise en oeuvre par des ressources internes avec acquisition des outils.
    • Réactivité optimale dû aux ressources internes à même d'intervenir rapidement et de "palier au problème constaté.
  • Sous-traitance à un prestataire de service informatique qui pourra utiliser ses propres outils. Il faudra prévoir de le faire revenir régulièrement car les menaces évoluent sans cesse.
    • Surement la meilleure analyse et appréhension du problème, mais au détriment des compétences internes avec un déport des responsabilités et de la réactivité.
  • Utilisation des services mutualisés à distance par des MSSP(Managed Security Service Providers) pour les tests de vulnérabilités, la découverte de vos flux applicatifs, la gestion des moyens de protection (équipements filtrants et antivirus) et la gestion des identifications/autehntifications.
    • l'équilibre entre le choix N°1 et N°2 ci-dessus. Des ressources humaines internes assistées par des services mutualisés à distance.