Sécuriser son système d’informations

La sécurité acquiert une importance vitale dans l’ouverture du S.I. à ses partenaires, clients ou collaborateurs. Quelle approche adopter, quelles implémentations techniques et architectures réseaux choisir, quelle gestion mettre en œuvre au quotidien ?… Voici quelques principes visant à garantir la réussite de votre politique de sécurité.

La sécurité des systèmes d’informations acquiert une importance cruciale.

La sécurité se trouve au carrefour de deux évolutions majeures. D’une part, le système d’informations est devenu le gestionnaire des informations les plus sensibles de l’entreprise tout en fournissant de nombreux outils performants, indispensables à l’activité d’utilisateurs de plus en plus nombreux et éloignés. D’autre part, il a cessé d’être un îlot monolithique pour s’ouvrir vers l’extérieur et accompagner le développement de la fameuse économie en réseau.

Cette ouverture, notamment via les technologies de l’Internet, va se poursuivre car elle élève de manière sensible l’accessibilité et l’efficacité du SI tout en favorisant l’augmentation du volume des échanges commerciaux : transactions électroniques, intégration des chaînes logistiques, information et fidélisation de la clientèle, etc. Elle répond également à un besoin croissant de flexibilité, lié aux personnels itinérants ou au télétravail.

Une approche globale

L’ouverture et l’extension du S.I. accroissent sa vulnérabilité. Le périmètre de sécurité réduit il y a encore une vingtaine d’années aux serveurs centraux, englobe aujourd’hui :

• le réseau d’entreprise (PC, LAN, Serveurs) ;
• les points d’accès à l’entreprise et le Réseau Privé Virtuel (RPV ou VPN) ;
• éventuellement le domicile des employés (dans le cas de liaisons permanentes à Internet) ;
• les communications de l’entreprise avec ses clients, le B2C, et/ou avec ses partenaires et/ou fournisseurs, le B2B.

Cet élargissement implique une présence de la sécurité à tous les niveaux du système d’informations. Cependant, intégrée dans chacun de ses composants (réseaux de communication, infrastructures systèmes, logiciels d’applications), la sécurité doit rester transparente afin de ne pas devenir une contrainte pour les utilisateurs (figure 1).

Figure 1 : Application .NET mobile

La politique de sécurité, fondement de la démarche, est construite sur un ensemble de documents officiels et consensuels :

• schéma directeur de la sécurité : organisation fonctionnelle, définition des ressources et analyse de risque ;
• règles fonctionnelles de la sécurité : règles générales de sécurité sur les ressources à protéger ;
• schéma technique de la sécurité : mise en œuvre technique des règles de sécurité fonctionnelle ;
• document de suivi des incidents de sécurité ;
• document de suivi d’exploitation.

L’implémentation technique de la politique de sécurité est réalisée à partir d’architectures réseaux sécurisées et de services de sécurité.

Les architectures réseaux sécurisées

Les réseaux d’entreprises, ouverts sur l’Internet, sont devenus des cibles permanentes d’attaques. Chaque jour de nouvelles failles de sécurité sont trouvées par les pirates (hackers) qui partagent et échangent leur connaissance au travers de sites Internet publics.

Pour éviter que les serveurs exposés (les bastions) deviennent une porte d’entrée libre sur le réseau interne, il convient de les isoler dans une DMZ (zone démilitarisée) protégée par des pare-feu (firewall).

L’assemblage de pare-feu permet de créer des DMZ (figure 2), appelées également « sous-réseaux écrans » (screened subnet), en frontal du réseau interne, dans lesquelles sont placées les machines dites sensibles, c’est-à-dire celles auxquelles les populations extérieures à l’entreprise peuvent se connecter. L’implémentation des règles de sécurité peut-être spécifique à chaque DMZ : une DMZ pour les accès partenaires et une DMZ pour l’Internet. Dans ce cas, les critères d’accès sont différents.

Aujourd’hui, le simple filtrage du trafic entre deux réseaux IP et la protection par des antivirus ne suffisent plus à protéger efficacement le réseau (il faut compter de 4 à 6 heures, au minimum, pour que l’antivirus soit mis à jour). Les pourriels (spams), les codes malicieux (malwares) et les programmes espions (spywares) savent traverser ces systèmes en s’intégrant à des courriels et/ou des pages web. Des outils de détection d’intrusions (IDS), mais surtout d’analyse comportementale de ces objets attachés aux courriels et/ou aux pages web, doivent être installés.

Figure 2 : Exemple d’une architecture réseau sécurisée

Les services de sécurité

Selon la finalité des applications et des populations concernées, il est nécessaire de mettre en place des mécanismes permettant d’assurer la confidentialité des échanges (garantir que seul le destinataire des données puisse en avoir connaissance) et/ou l’intégrité des données (garantir que les données n’ont pas été modifiées pendant leur transport) et/ou l’identification/authentification des utilisateurs (garantir avec certitude l’identité de son interlocuteur), la non répudiation (éviter qu’un interlocuteur ait la possibilité de réfuter les actes qu’il a effectués).

Ces trois services sont réalisés par :

• les algorithmes de chiffrement (chiffrement symétrique (figure 3) et chiffrement asymétrique (figure 4)) ;
• les mécanismes liés aux certificats X.509 et les autorités de certification (Figure 5) ;
• les infrastructures à clés publiques (figure 6).

Dans le cadre d’une relation commerciale, il convient d’implémenter un mécanisme de notarisation et d’horodatage des transactions (référence 7 sur la figure 6).

Figure 3 : algorithme symétrique

Figure 4 : algorithme asymétrique

Figure 5 : identification/authentification d’un utilisateur

Figure 6 : infrastructure PKI

Et après …

La question n’est pas de savoir si vous serez piraté, mais quand. Dès lors, la sécurité ne s’arrête pas à la mise en place d’une architecture technique ; une gestion au quotidien doit être organisée pour obtenir une sécurité :

• adaptée (mots de passe, antivirus, dernières mises à jour, etc.) ;
• auditée (analyse des logs, simulation d’attaques) ;
• administrée.

La sécurité à 100 % n’existe pas, mais quelques simples règles de bon sens, beaucoup de rigueur et une sensibilisation accrue des utilisateurs peuvent garantir la réussite de votre politique de sécurité, car personne n’est à l’abri : « Le seul système qui soit vraiment sûr est celui qui est déconnecté, débranché, enfermé dans un coffre-fort en titane, au fond d’un blockhaus, dans une atmosphère de gaz toxique et protégé par des gardes très bien payés. Et encore… je n’y mettrais pas ma tête à couper »
Gene Spafford

François PREVOT

Dossiers Infotel
Michel KOUTCHOUK
Tél. +33 (0)1 48 97 38 38
dossiers@infotel.com

retour au sommaire