Lundi 22 janvier 2018
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Plan de sécurité : les six étapes clés

Imprimer Envoyer à un ami Contacter la rédaction
Par Alain Bastide le 29/09/2010 - indexel.net
 
Plan-securite-informatique

Deux experts nous livrent leur check-list des actions et démarches essentielles pour sécuriser durablement un système d’information d'entreprise.

 

Le système d'information est une cible sensible. La nécessité de le protéger n'a cessé de croître au fur et à mesure de la démocratisation des réseaux, de la généralisation du protocole IP, puis de la messagerie et du commerce électronique. Aujourd'hui, la mobilité et les logiciels web (HTML 5.0) exposent plus que jamais les données critiques de l'entreprise. Quels sont les bons gestes à adopter ? Sont-ils uniquement technologiques ou doit-on aussi prendre en considération le facteur humain ? Les réponses de deux experts de la sécurité informatique qui nous livrent leur check-list des gestes essentiels.

1. Travailler sur l'humain et la culture d'entreprise

Comme le montrent la plupart des études récentes (notre article : 96 % des attaques sociales réussissent), les salariés sont le maillon faible et le principal vecteur de contamination du système d'information. Il est donc indispensable de leur faire prendre conscience du rôle fondamental qu'ils jouent dans le dispositif de sécurité. Il faut notamment "les sensibiliser au rôle des mots de passe et adopter une politique idoine" conseille Hervé Schauer, fondateur du cabinet spécialisé HSC. Cette sensibilisation sera supportée par "une base d'authentification centrale commune au maximum d'applications dans laquelle les identifiants génériques tels que 'Root' et 'Administrateur' n'auront jamais leur place", complète Boris Hajduk, RSSI de RBC Dexia.

Si la phase de sensibilisation est bien menée, les utilisateurs accepteront plus facilement une "politique du moindre privilège" qui consiste à serrer la vis pour commencer, avant de donner du leste. Un audit régulier de leurs droits permet ensuite de les adapter à de nouveaux besoins ou de nouvelles responsabilités. Aucun public ne doit être privilégié. "Cela vaut aussi pour les administrateurs système qui ne doivent pas pouvoir contourner par eux-mêmes les règles qu'on leur impose", précise Boris Hajduk.

Évidemment, il faut "s'adapter à la culture de l'entreprise pour éviter l'effet inverse : des règles trop strictes qui poussent les utilisateurs à les enfreindre", tempère-t-il. Des procédures sévères seront facilement acceptées dans un environnement bancaire, tandis qu'une startup devra probablement laisser une plus grande liberté technique à chaque utilisateur. Bref, l'utilisateur est un des éléments actifs clé de la sécurité du système d'information. Il convient de ne jamais l'oublier.

2. Définir clairement le dispositif de sécurité

Hervé SchauerQui est responsable de quoi en fonction de quel incident ? Simple question dont la réponse en dit long sur le niveau de maturité des entreprises. "Le DSI doit impérativement participer à la rédaction de l'engagement en matière de sécurité qui sera approuvé par sa direction générale. Mais plus encore, il doit systématiquement informer le RSSI des projets de toute nature et lui désigner un correspondant opérationnel", insiste Hervé Schauer (photo). Car la sécurité est une chaîne qui implique de nombreux acteurs, à différents niveaux. Chacun doit donc connaître sa partition par cœur et la jouer sans fausse note... au risque, sinon, de fragiliser l'ensemble de l'édifice.

3. Sensibiliser les développeurs

Les développeurs peuvent piéger leur propre entreprise à leur insu ! Il faut les "sensibiliser aux vulnérabilités qu'ils pourraient introduire dans leur code", conseille Boris Hajduk, notamment aux menaces listées par le OWASP Top 10. "Il ne faut surtout pas leur faire réécrire des fonctions d'authentification ou de chiffrement. Mieux vaut se fier aux librairies spécialisées reconnues" conseille le spécialiste. Enfin, le passage en environnement de production nécessite un sas. L'équipe de développement ne doit pas avoir accès en écriture sur l'environnement de production. C'est également à cette étape que l'on traite la confidentialité des données avec attention. "Lors du passage en production, on peut installer quelques entrées piégées dans la base de données. Elles permettront de détecter immédiatement le vol de données. C'est le principe des billets de banques marqués à l'encre invisible", sourit Boris Hajduk. Impossible pour un pirate de faire la différence. L'entreprise, elle, saura instantanément qu'elle a subi une effraction.

4. Anticiper les pertes de données et d'applications

Avant d'en arriver là, il faut commencer par "identifier les applications et données sensibles, préciser les propriétaires de ces données, lister les RTO*/RPO** de chaque application critique, faire un test de remontée de backup. Et trouver des solutions alternatives si les temps de restauration sont incompatibles avec les besoins exprimés par les équipes métier" énumère Boris Hajduk. Si des logiciels, des données ou des prestations essentielles sont externalisés, il faut vérifier les SLA (Service Level Agreement) qui lient l'entreprise aux fournisseurs. La prévention passe aussi par "une gestion efficace des correctifs de sécurité au travers d'une veille en vulnérabilité active" précise Hervé Schauer. Enfin, l'entreprise doit faire auditer les périmètres sensibles de son système d'information par des spécialistes et réaliser un test d'intrusion lors des évolutions majeures du système d'information.

5. Surveiller le réseau

Les intrusions ont presque toutes lieu à distance, via le réseau. En portant un soin particulier à cette couche du système d'information et en réduisant au maximum les accès externes, on réduit drastiquement les risques. La protection périmétrique du système d'information ne se limite pas un simple coupe-feu en entrée. L'analyse des flux sortants permet notamment de détecter les tunnels (SSH, voir HTTPS ou DNS) installés par des employés pour contourner les filtres en place. "On peut aussi installer un proxy filtrant et positionner quelques sondes de détection d'intrusion telles que Snort aux points essentiels du réseau", détaille Boris Hajduk. Enfin, le standard de contrôle d'accès 802.1x permet d'éviter que les employés branchent n'importe quel équipement sur le réseau.

6. Trier les remontées d'information

Il est impossible de piloter la sécurité du système d'information dans le noir. Il faut donc concevoir un "tableau de bord sécurité", document synthétique de suivi pour visualiser l'amélioration progressive du niveau de service proposé. Au niveau des administrateurs systèmes, il est essentiel de déployer une console centralisant les logs de chaque serveur et application. "L'important est d'anticiper la remontée de nombreux faux positifs. Sinon, avec le temps, les alertes ne seront pas prises au sérieux et elles ne serviront plus à rien", conclut Boris Hajduk.

*RTO : temps nécessaire pour passer sur un serveur de secours
**RPO : intervalle entre les sauvegardes

LIRE AUSSI
 
Partager :
LIRE AUSSI
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages