Accueil > Evènements, Sécurité, TechDays > TechDays 2014 – Sécurité

TechDays 2014 – Sécurité

Donc, hier, je suis allé voir la session Stratégie de sécurité Microsoft. Et aujourd’hui, je suis allé voir la session La sécurité de l’emploi : protégez votre SI.

Les deux sessions ont été assez intéressantes et complémentaires sur certains points.
Dans ce billet, je vais donc faire un retour de ce que j’en ai retenu.


 

Mutations des attaquants

 

Depuis le début de l’informatique, les attaquants ont évolués.
A la fois techniquement (ils sont toujours à jour) mais aussi à la fois socialement.
Au début, c’était plus un mouvement égocentrique : « c’est moi le meilleur, vois ce que j’ai pu faire » pour muter en attaquants plus professionnalisés.

Ce qui veut dire que les attaquants peuvent être, effectivement, des professionnels (que ce soit à la solde d’entreprises privées ou d’états).
Mais les attaquants peuvent aussi mêler un aspect plus politique.
Ainsi, les moyens ont pu drastiquement évoluer. Pour utiliser une image chère aux médias : du méchant hacker dans sa cave (<- c’est celle-ci) au hacker en costard cravate à la pointe de la techno.

Les attaquants ont aussi évolués dans la manière de procéder.
Ainsi, il peut y avoir l’attaquant qui va percer les défenses, prendre tout ce qu’il peut et analyser plus tard, en déconnecté du SI victime, donc.
Ou l’attaquant qui va s’installer durablement dans la SI.
Les attaquants passent aussi beaucoup par l’aspect social : ne pas attaquer directement le SI, mais chercher quelqu’un qui va ouvrir gentiment une porte (ex : phishing).

Cependant, les défenseurs sont toujours restés sur la même ligne de défense. A savoir un beau château-fort (métaphore utilisée dans les deux présentations).
L’avantage d’un château-fort, c’est que lorsque l’on voit arriver l’attaquant, on peut lever le pont-levis.
Mais 69% des entreprises infectées (2ème session) ne savaient pas qu’elle l’étaient.

Autre élément important, l’espèce d’omerta qui existe chez les attaqués.
Mais c’est en mettant en commun leur connaissance et leur retour d’expérience que les défenseurs pourraient se rendre compte des mutations et donc de gréver la capacité à être pertinent.
La première session cite notamment cet article de PC Inpact : FIC 2014 : le monde de la sécurité entre morosité et fébrilité (22/01/2014) avec son titre « « La cybersécurité est-elle un échec ? » : un constat en demi-teinte ».

Ainsi, la protection en couche du modèle château-fort est devenue totalement obsolète.
Pire, l’impression de sécurité est parfois plus importante que la sécurité elle-même.
Ainsi, ce n’est pas parce qu’une entreprise n’est visiblement pas attaquée qu’elle est en sécurité.

 

Mutations des usages

 

Mais la mutation ne s’arrête pas du tout aux attaquants.
Les usages évoluent eux aussi drastiquement.
Avec l’émergence d’Internet et son omniprésence dans la vie quotidienne, la frontière entre le personnel et le professionnel s’efface doucement.
L’exemple est un recruteur qui se sert de LinkedIn ou Viadeo pour recruter, mais il peut aussi se servir de Twitter ou Facebook pour en savoir plus sur la personne en face.
Autre exemple, Twitter peut-être utilisé pour s’informer professionnellement parlant (en suivant des comptes techniques), mais il peut très facilement s’élargir à d’autres choses.

D’autre part, le métier peut avoir besoin des réseaux sociaux, par exemple une équipe marketing.
Mais si la société bloque bêtement Facebook (exemple) pour tous les employés, cela veut dire que l’entreprise pourra se faire distancer par des concurrents qui sont présents sur les réseaux sociaux.

Note : il ne faut pas non plus sous estimer l’importance de l’image. Exemple la Police Nationale inscrite depuis le 1er décembre 2012, 662 tweets pour 10,4K followers face à la Gendarmerie Nationale inscrite depuis le 17 janvier 2014, 151 tweets pour 18,3K followers. Ce sont des exemples particuliers, mais qui donne bien un aperçu de qui gère bien et qui gère mal. Les messages de l’un auront beaucoup plus d’impacts que les messages de l’autre.

Ainsi, la sécurité ne doit pas être un prétexte pour devenir castratrice du métier (1ère session, j’aime bien l’expression🙂 ).
La sécurité et les défenseurs doivent donc muter à leurs tours, se remettre en question pour évoluer et être efficace.
Sinon, la sécurité ne sera qu’un simple mirage.

Il y a aussi le cas de la mobilité.
Que ce soit l’employé qui travaille de chez lui ou l’employé qui utilise son propre matériel (BYOD).
Dans les deux cas, des documents importants peuvent sortir du réseau de l’entreprise.
Et si la sécurité se résume à protéger les documents dans le datacenter de l’entreprise…et bien les documents qui en sortent ne sont plus du tout protéger.

 

Quoi protéger ?

 

Souvent, la sécurité implique de protéger toutes les ressources de l’entreprise de manière uniforme.
Mais au final, est-ce réellement la bonne solution ?
En effet, si le document décrivant la charte graphique de l’entreprise tombe aux mains de vilainsméchantpirates, est-ce dommageable ? (pour moi la réponse est non : la charte graphique s’expose sur le site Internet).
Et si c’est le document qui fait état des résultats de l’entreprise qui va être publié le mois suivant ?
Lequel est le plus important ?

Car c’est bien cela qu’il faut voir : tout n’a pas à être protégé de la même manière.
Ainsi, il faut admettre que tout n’est pas bon à protéger. C’est donc aux métiers d’identifier réellement ce qui est pertinent (ex: ce qui est confidentiel) et non pas aux DSI de sécuriser tout par défaut (ce qui, en général, ne fonctionne pas).
Il y a donc une vraie analyse de risque à réaliser.

 

Comment protéger ?

 

Déjà, en identifiant ce qu’il faut protéger.
Ensuite, en réduisant la surface d’attaque possible.

La centralisation, par exemple, n’est pas une mauvaise chose pour la sécurité.
Il est plus simple de protéger efficacement un endroit plutôt que dix.

Dans la seconde session, Florian Malecki a mit en avant la solution DELL (il travaille pour eux).
L’avantage serait d’avoir une solution complète de composants qui peuvent interagir entre eux.

En effet, il est simple et facile d’avoir un antivirus sur le poste de travail, un firewall et des protections sur le réseau, mais dans l’approche « traditionnelle », ces solutions sont indépendantes. Ainsi, elles ne réagissent pas du tout entre elles.
Alors qu’une solution d’ensemble pourrait avoir une authentification forte, un moyen de voir si le device (PC, laptop, mobile…) est connu ou non, vérifier si tous ses applicatifs sont à jour, donner des droits d’accès dynamiques à l’utilisateur et enfin, éventuellement, lui donner l’accès à la ressource souhaitée.

Dans les deux sessions, il est question de droits d’accès dynamiques plutôt que des ACL basiques.
Assez simplement, cela veut dire que si l’utilisateur se connecte sur un PC fixe sur le réseau interne de l’entreprise, il aura accès à plus de chose que s’il se connecte sur son laptop depuis le wifi d’un hôtel ou d’une gare.
Il est donc question de niveaux de confiance.
Est-ce que l’on peut avoir confiance en le wifi d’une gare ? Non. Alors on va donner accès aux documents non sensibles.

Le Multi-factor authentication (MFA) peut aussi être un plus non négligeable.

Il a aussi été question de Right Management Services lors de la 1ère session.
Selon Wikipédia :

Les Rights Management Services sont une technique développée par Microsoft. Ils sont semblables aux DRM, et visent donc à gérer, pour un fichier donné, les droits accordés à l’utilisateur par son créateur.

Et donc du XrML.

Enfin, la sécurité vient aussi de la mise à jour des différents applicatifs.
Il y a là deux volets.
Le premier, c’est d’arrêter d’utiliser des technologies obsolètes qui ne sont plus mises à niveau (et dont les failles sont connues, documentées et dotés de nombreux outils pour les exploiter).
L’autre, c’est d’avoir les logiciels tiers à niveau (obvious : antivirus, mais aussi, au hasard, les logiciels Adobe, etc.).

 

Limites de la sécurité

 

La sécurité impactera toujours les utilisateurs finaux.
Si la sécurité est trop contraignante ou qu’elle entrave le travail, alors elle sera toujours contournée.
Ainsi, il faut impérativement que la sécurité se plie aux exigences des métiers et qu’elle n’applique pas aveuglément des choix contraignants et parfois dépourvu de sens (note : ça, ça s’applique à d’autres domaines que la sécurité…).

Il faut aussi bien se souvenir que l’utilisateur est le maillon faible.
Ainsi, il faudra toujours lui donner le strict nécessaire en termes de droits.
De nombreux utilisateurs ayant des droits administrateurs est, par exemple, symptomatique d’une mauvaise gestion.

La multiplication des identité peut aussi poser problème.
Déjà car la réutilisation des mots de passe pourra être des plus tentantes, mais aussi car il sera aisé de noter ses mots de passe quelque part (note : il vaut mieux noter ses mots de passe dans un logiciel dédié que sur un post-it…).
Créer un SSO pour centraliser l’authentification peut ainsi être une très bonne idée.

Catégories :Evènements, Sécurité, TechDays
  1. Aucun commentaire pour l’instant.
  1. No trackbacks yet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :