La version de votre navigateur est obsolète. Nous vous recommandons vivement d'actualiser votre navigateur vers la dernière version.
Gestion technique de la sécurité
Technique de l'Information et de la Communication, Sécurité de l'Information et Protection des Données
Une collection d'informations sur la sécurité de l'information, la protection des données et de la personnalité.

Gestion technique de la sécurité

Risk AheadRisk Ahead

© Fotolia

La sécurité informatique n'est pas une fin en soi mais un processus continuel conditionné par l'évolution des menaces.

Processus GestionProcessus Gestion

Inspection

La sécurité a pour objectif de réduire les risques. Une analyse des risques permet de déterminer les besoins en sécurité. Elle se fonde sur un inventaire des ressources et une estimation des menaces. Elle révèle la valeur des biens et d'en apprécier les pertes potentielles.
Processus InspectionProcessus Inspection

Inventaire des ressources

Ce sont généralement des personnes, des informations, une réputation, des objets, une infrastructure.

Estimation des menaces

Elles sont omniprésentes, inévitables, elles peuvent tout au plus être anticipées, atténuées par des protections. Malveillance, erreurs humaines, dysfonctionnement de systèmes, désastres naturels. De bonnes relations avec son entourage, de la discrétion (éviter les réseaux sociaux) permettent de réduire efficacement certaines menaces.

Analyse des pertes

Leur importance dépend de la valeur souvent subjective de la ressource : information intime, confidentiel, unique, sentimentale, pécuniaire, valeur marchande, la réputation.

Identification des vulnérabilités

À titre d'anticipation, une réflexion sur la vulnérabilité, les points faibles, les failles de sécurité est judicieuse car elle permet souvent de prévenir une menace.

Organisation de la protection

L'organisation de la protection permet la mise en œuvre de protections spécifiques visant à préserver l'information de manière appropriée. Elles peuvent être préventives et réactives. Elles doivent être cohérente, globales et leur coût proportionné à leur efficacité et à l'enjeu. Elles consistent à éviter les risques évitables, à installer les mises à jour de sécurité, à rechercher constamment de nouvelles failles, à éviter l'installation de services, de logiciels superflus, à limiter le nombre de points d'entrée dans le système. Le transfert de risque par outsourcing ou la conclusion d'une assurance permettent de partager le risque avec une société spécialisée ou minimiser les conséquences financières.

Évaluation de
l'état actuel

Une évaluation de l'état actuel de la sécurité précède indispensablement la mise en place d'un programme de sécurité. Elle doit porter sur la sécurité de l'information, les règles de gestion et sur les tests pratiques. Les procédures de sécurité doivent protéger l'information de sa création à son élimination. Les règles de gestion doivent être appliqués. Des tests permettent la validation des procédures appliquées. 

Protection

 

Elle consiste à prévenir la vulnérabilité par des mesures préventives

 
Terminal portableTerminal portable
© Fotolia
 
Processus ProtectionProcessus Protection

 Sensibilisation

La sensibilisation consiste à ce que les personnes comprennent bien l'implication qu'a la sécurité sur leur manière de traiter l'information, qu'elles connaissent leur rôle dans la préservation de la sécurité. Il faut expliquer ce qu'est un comportement correct et incorrect, faire comprendre que chacun est responsable de la sécurité de l'information qu'il utilise et les rôles de chacun. Les possesseurs d'information^s déterminent leur valeur et fixe le niveau de sécurité nécessaire. Les gardiens de l'information sont responsables de l'intégrité et de la confidentialité de celles-ci. Les utilisateurs doivent manipuler l'information comme il convient, selon sa nature.

Accès

L'accès est la façon dont l'utilisateur obtient l'information, les doits et autorisations qu'il a sur elle. L'accès peut être physique (un classeur), direct (sur l'ordinateur), par réseau local (d'un ordinateur à un serveur) ou à distance (de l'extérieur, par Internet) à travers un pare-feu ou une DMZ.

Identification

L'identification est le fondement de toute sécurité. Toutes ressources humaines, machines doivent avoir un identificateur unique indispensable pour obtenir une autorisation. Nom d'utilisateur, badge, carte à puce.

Authentification

L'authentification permet de valider l'identité d'une personne, d'une machine ou d'une ressource par la fourniture soit d'un mot de passe secret, soit d'une clé, d'une carte, soit de quelque chose de vous-même, empreinte digitale, de l'iris.

Habilitation

L'habilitation consiste à accorder des droits à des utilisateurs identifiés. Ses droits sont généralement gérés de manière centralisée par l'attribution de rôle à l'utilisateur. L'habilitation des rôles à certaines ressources, actions, systèmes et application permet de contrôler les actions des utilisateurs, de définir les permissions sur les ressources et limite leurs usages abusifs.

Disponibilité

Assure l'utilisation des ressources informatiques en termes d'existence des informations, du système de gestion, de l'infrastructure de transport et de l'environnement de traitement. Elle peut être assurée à niveau élevé par la mise en oeuvre de la redondance des données et la clusterisation des ressources informatique de gestion. Tributaire de la disponibilité de l'infrastructure énergétique et climatisation.

Intégrité

Garanti une qualité optimale des données de leur saisie, leur traitement, leur transport à leur stockage.

Confidentialité

Elle consiste à éviter la divulgation de l'information au profit de qui que ce soit non autorisé, de leur saisie à leur destruction.

Non <<répudiabilité>>


Consiste à identifier l'individu, la machine responsable de toute action sur l'information. La signature électronique permet l'authentification de l'expéditeur et garanti la livraison.

Détection

Indépendamment de la protection du système il existera toujours un moyen de la contourner. Subir un incident est grave, ne pas le savoir est pire. Des systèmes de détection d'intrusion permettent de détecter tout comportement suspect.

Les motivations d'attaques peuvent être financière, sociale, politique, personnelle.

Processus DétectionProcessus Détection

Les attaques peuvent être internes et externes

Les internes sont difficiles à dépister, souvent par naïveté. Ils ont un haut taux de réussite et causent le plus de dégâts. Ils opèrent souvent en toute tranquillité. Qui en effet se méfierait d'un collègue, d'un proche, d'un parent ?

Certaines méthodes de détection d'intrusion constatent celle-ci, d'autres détectent les traces laissées, d'autres dirigent l'assaillant dans un environnement sécurisé (pot de miel / honney pot).

Les externes sont en progression. Sous couvert de fausses identités ils peuvent souvent passer totalement inaperçus durant un temps certain.

 

Type d'intrus

Intrus opérant de l'extérieur : le hacker, le cracker, les concurrents, le cracker en herbe.
Intrus opérant de l'intérieur : collaborateurs, mécontents, temporaires, vigil de surveillance, négligence.
Professionnels du piratage : espionnage, crime organisé, activistes, terroristes.

Méthodes d'intrusion

Physiques, techniques, sociales.
La sécurité physique limite l'accès à certains endroits (appartement, bureau) coffre-fort.
Les intrusions techniques s'opèrent par le réseau en exploitant les vulnérabilités des applications ou des systèmes, les failles de sécurité (absence de mot de passe ou trop simple à découvrir / cracker.
L'action psychologique : elle fait parler les gens, donner des informations, par pression ou promesse de gain.

Processus d'intrusion

Il consiste à rassembler un maximum de renseignements sur la cible. Par une reconnaissance technique des systèmes et de leur intégration dans le SI, permet de répertorier les failles.

Pour ce faire une analyse du profile de la cible par son site Web (Facebook, site personnel, d'entreprise), l'exploration des systèmes, un scannage des applications, une fouille des poubelles permettent de rassembler une foule d'informations.

Parvenir ensuite à infiltrer la cible après avoir choisi une faille, attaquer par force brute, par vol de session, usurpation d'identité.

Le mode d'attaque peut opérer le réseau, sur le système, ou sur les applications.

Il permet de s'introduire dans le système cible.

Reste à préparer son retour, effacer les traces.


Processus d'IntrusionProcessus d'Intrusion

Méthode de détection d'intrusion

Les sondes réseaux (Network Intrusion Detection System NIDS) Elles écoutent le réseau et détectent des tentatives d'intrusion.
Les sondes système (Host Intrusion Detection System HIDS) Elles créent une image du système à un moment donné, définissent tout ce qui est légitime. Tout ce qui sort du cadre et des habitudes du système est considéré comme une attaque.
Les IDS ne sont efficaces que :

- S'ils sont constamment mis à jour.
- S'ils sont correctement configurés.
- Si les alertes qu'ils génèrent sont traitées et analysées continuellement.
- S'ils contribuent à l'application de procédures de réponse. 

 

Réaction  

Lors d'un incident, l'essentiel est de protéger l'information tant au niveau de son existence qu'au niveau de sa disponibilité. Un plan général de réponse doit être défini à l'avance pour minimiser les conséquences de l'incident. Le plan de réponse doit définir les procédures à exécuter, qui s'en charge afin de permettre à la réponse à l'incident d'être rapide et efficace. Ça doit être la procédure la mieux définie. Chaque incident doit faire l'objet d'un enregistrement de tout ce qui se passe sur les systèmes. Ceci permettra d'étudier le mécanisme d'attaque à posteriori.
Le responsable de la sécurité doit être informé de tout incident. Il faut limiter ensuite les dégâts aux systèmes déjà compromis et déterminer les causes et la portée de l'attaque. Enfin, il faut éradiquer la cause de l'incident. Tous les systèmes, y compris les sauvegardes doivent être examinés. Lors de la restauration des systèmes les correctifs de sécurité existant doivent être déployés.


Processus de RéactionProcessus de Réaction
 

Plan de réponse

Un plan de réponse bien documenté est indispensable pour réagir efficacement à une attaque. Les procédures de réponses doivent être connues de tous :
Quelles sont les personnes à avertir;
Qui est autorisé à désactiver les services compromis par l'incident;
Qui est compétant pour déconnecter le réseau;
Les ressources disponibles;
Une liste des contacts qui ont des compétences dans tel ou tel domaine;
Qui stoppe son travail habituel pour "se plonger" complètement sur l'incident;
Quels logiciels doivent être utilisés;
Où se trouve la documentation des systèmes incriminés;
À quel moment on fait appel à des organisations spécialisées, consultants, etc.

Détermination d'un incident

Définir une liste d'événements pouvant être considérés comme des incidents de sécurité. Lors de découverte de fichiers inhabituels, de programmes ou processus inconnus fonctionnent, que la consommation de ressources est anormale ou encore que des crashes fréquents du système surviennent, il est probable qu'une attaque soit en cours. Une attaque probable est constituée par un événement qui ne peut pas se produire sur un système sans que quelqu'un l'ait provoqué. Une modification des journaux de bord, la présence de logiciels de hacking, la perte de disponibilité, intégrité ou confidentialité sont des situations où il parait certain que l'on a affaire à un incident.

Notification d'un incident

Souvent, l'utilisateur remarque que quelque chose ne fonctionne pas normalement. Il tente de comprendre ce qui se passe et cherche de l'aide auprès de personnes formées à reconnaître ce qui pourrait être une attaque. Les particuliers s'adressent à leur FAI (fournisseur d'accès à internet) alors que les professionnels recourent à leur service d'assistance. La notification doit respecter un ensemble formel de procédures et doit être effectuée avec discrétion. Ces procédures sont définies à l'avance. Le délai de notification doit être aussi réduit que possible.
Dès l'incident notifié, l'équipe qui va traiter l'incident ouvrira un journal de bord et y notera toutes les communications ayant trait à l'incident. Ces informations seront utiles à posteriori.
S'il s'agit bien d'un incident de sécurité, que sa sévérité est évaluée, il peut être nécessaire de faire appel à des organisations spécialisées dans le traitement des incidents de sécurité. Dans le but d'éviter toute perte de confiance de leur clientèle, les FAI et les entreprises évitent d'ébruiter les incidents de sécurité. 

Confinement de l'incident

Un incident doit être confiné le plus rapidement possible pour éviter qu'il n'affecte d'autres systèmes. Comme les décisions doivent être prises dans l'urgence, elles sont établies à l'avance. Dès la contamination stoppée, la portée doit en être déterminée afin de pouvoir neutraliser l'incident. On commence par le système compromis puis on se dirige du côté des systèmes communiquant avec lui.
L'isolation du système peut nécessiter sa déconnexion complète du réseau afin d'en reprendre le contrôle. Il s'agit de trouver un équilibre entre la perte de disponibilité et le confinement de l'intrus.
La remise en l'état avant attaque du système permet d'en reprendre le contrôle, en supprimant les causes de la contamination. Il est recommandé de reconstruire complètement le système en formatant les disques, permettant ainsi d'éliminer toute trace d'attaque.

Évaluation des dommages

Les dommages doivent être déterminés avec précision. D'autres parts, il faut être conscient que les informations altérées affecteront l'intégrité de l'information, les décisions futures de l'entreprise. Si l'entreprise ne possède pas de système de détection automatique, il faudra déterminer à quel moment l'incident a débuté, il sera ainsi possible de restaurer des informations sûres. Il faut tenter de déterminer les responsables de l'incident.

Reprise après incident

Après le confinement de l'incident, il s'agit de remettre rapidement le système en état. Les aspects de confidentialité, d'intégrité et de disponibilité doivent être mis en œuvre rapidement. On privilégiera l'exactitude des informations plutôt que leur disponibilité. Le coût de l'indisponibilité des systèmes détermine les priorités de remise en route. En tirant parti des informations obtenues de l'incident, il est maintenant possible de revoir les différentes protections, en créer des nouvelles et mettre à jour les moyens de détection. Un système qui vient d'être compromis risque de nouvelles attaques. Sa surveillance est donc capitale. S'il est à nouveau compromis, les utilisateurs perdront totalement confiance. Il est nécessaire de démontrer que le problème a été maîtrisé de bout en bout et qu'il est sous contrôle.

Réponse automatisée

Un système de détection peut lancer des actions de protection et de notification lorsque survient une alarme. Dès qu'il trouve un événement listé dans sa base, il exécute les actions de protections et de notifications demandées. Cela peut aller du blocage de la source d'attaque jusqu'à la déconnexion complète du réseau par lequel se produit l'attaque, en passant par la désactivation du service attaqué.

Réflexion 

Une fois l'incident passé, les systèmes restaurés et la situation à nouveau normale, l'incident doit être analysé. Comme chaque incident est différent, il y a toujours une leçon à en tirer. Les aspects de l'incident et les problèmes rencontrés feront partie d'un rapport qui permettra d'élever le niveau actuel de la sécurité. Il est judicieux de revoir les processus de sécurité, l'analyse des risques, la gestion des incidents, la reprise des activités, etc. Si l'incident est connu du public et des médias, toutes les communications devront être faites par un responsable de la société car elle joue un grand rôle dans la façon dont l'incident sera perçu de l'extérieur.

 
Processus de RéflexionProcessus de Réflexion

Documentation d'un incident 

Les événements doivent être enregistrés immédiatement. Ils seront nécessaires pour une éventuelle suite judiciaire. Les sources de documentations sont très diverses. Les systèmes d'exploitation, les systèmes de sécurité, les réseaux, les administrateurs  enregistrent dans leurs journaux d'événements une pléthore d'informations. Toute personne impliquée dans l'incident tient en principe un carnet de bord dans lequel elle note tout ce qu'elle fait et ce qui se passe. Une fois toutes ces informations réunies, il faut les classer chronologiquement, ce qui permettra d'avoir une vue d'ensemble de l'incident et de mieux appréhender sa compréhension. Le rapport contiendra - entres autres - les informations suivantes : comment l'incident a-t-il été découvert, quelles en étaient les causes, quelles ont été les activités de l'attaquant et comment la reprise des opérations s'est faite.
Une documentation technique doit être réalisée et diffusée auprès de tous les participants à la sécurité. Elle peut éventuellement être transmise à des organismes spécialisés dans la sécurité. Elle contiendra les causes de l'incident, les impacts, la résolution et les améliorations effectuées. Un rapport non technique contenant les mêmes points sera réalisé pour la direction.

Évaluation d'un incident

Ce processus évalue les réactions entreprisent suite à un incident et dans quelle mesure elles ont contribuées à sa résolution. Afin d'éviter un incident de même type, il est nécessaire d'analyser les processus mis en œuvre et déterminer leurs efficacités, bonnes ou mauvaises. Pour améliorer ces processus, il est nécessaire de savoir ce qui s'est exactement passé et à quel moment, quel a été le comportement du personnel, quelles ont été les informations nécessaires et quels comportements adopter lors d'un incident.
Il est nécessaire d'identifier tous les processus améliorables, tous ceux qui n'ont pas fonctionné comme prévu. Par processus, on entend toutes les actions décrites dans le plan de réponse.
Une fois déterminés les points faibles et les points forts des processus, du personnel, des communications et des outils, les modifications nécessaires doivent être réalisées.

Relations publiques

Avoir une mauvaise image de marque ou perdre la confiance de ses relations peut être dévastateur. Il est dès lors très important de mettre soigneusement au point ce qui va être dit, quand et sous quelle forme. Il est préférable de laisser cette tâche aux spécialistes de la communication. Ils sauront quand contacter les médias et comment leur expliquer le déroulement de l'incident.

 

Suites judiciaires

Peu de personnes, de sociétés se lancent dans des suites judiciaires en pensant que cela ne dissuadera pas les pirates ou par peur de trop ébruiter leur mésaventure. Cette situation profite naturellement à l'augmentation du sentiment d'impunité.
Pour l'entreprise qui souhaite tout de même se lancer dans ce genre de bataille, il faut savoir que les lois couvrant les délits informatiques ne sont pas les mêmes dans tous les pays. Ainsi un délit punissable en Suisse ne l'est pas forcément dans un autre pays. D'autres parts les probabilités de retrouver l'auteur d'un délit informatique sont assez maigres. La Suisse a signé la convention européenne sur la cybercriminalité.

Conseil de l'Europe Convention sur la cybercriminalité (visité le 08.07.2010).

Les sources : Les enseignants ESIG-Jura 2006-2010, James Frein, Pierre Jaquet.
"Conception de la sécurité d'un système d'information", Boris Huguenin, 2003.