ParisGraduateSchoolofManagement ECOLESUPERIEUREDEGESTION D INFORMATIQUEETDESSCIENCES ECOLESUPERIEUREDEGENIE INFORMATIQUE INGENIERIEINFORMATIQUERESEAUXETSECURITE MEMOIREDERECHERCHE Année2008 LESSTRATEGIESDESECURITEET SYSTEMESDEPROTECTIONCONTRE LESINTRUSIONS Présentépar MESSAVUSSUAdoteviEnyonam MOUMOUNIMOUSSAHarouna ESGISIIR Décembre2008 Sousladirectionde M.ATOHOUNBéthel ChefdépartementIIRESGIS
Remerciements Nostrèssincèresremerciementsvontà: M.ThierryMONLOUIS:LeDirecteurdel ESGIdeParisettoutsonpersonnel; M.MacyAKAKPO:LeDirecteurGénéralduGroupeESGIS; M.PascalDANON:LeConseillerpédagogiqueduGroupeESGIS; M.BéthelATOHOUN:LeConseillerchargédel Informatique,duréseauetduCycle IngénieurIIRduGroupeESGIS; Al ensembledupersonneldugroupeesgisàloméetàcotonou; M.AlainAINA:LeDirecteurTechniqueparintérimd AfriNICetDirecteurdeTRS. MmeMartineOUENDOpoursabienveillanceetsachaleureusehospitalité; PourMOUMOUNIMOUSSAHarouna AmestrèschersparentsMOUMOUNIMOUSSAetHassanaMAMOUDOU,jevousdédie cetravailquin estriend autrequ unfruitdevotreindéfectiblesoutien; AmononcleIssouMAMOUDOUetsafamille,pourlesoutieninconditionnelapportédurant ceparcours; AmonfrèreAbdouletmessœursMariama,Hawa,AdamaetNadia,enespérantvousservir demodèle; Amesamisdelonguedatepourleursencouragementsquinem ontjamaisfaitdéfaut:seyni, Douma,Chaibou,Yann,Salélé, AmanièceZeinabenespéranttedonnerdéjàlegoûtdutravail,surtoutbinefait; Au personnel de BENIN TELECOMS; en particulier à Joseph HONVO, Louis AGBAHOLOUetMaximeGODONOU DOSSOUpourleursconstantesdisponibilités; ANsiluMOANDAVodacomRDCpoursesmultiplesconseilsetsonassistancequinem ont jamaisfaitdéfautdurantceparcours; Atousmesprochesquejen aipuciterici. PourMESSAVUSSUAdoteviEnyonam AmesfeuxtrèschersparentsMESSAVUSSUAdoviKoffietMIKEMAdéviMartineàquije dédiecemémoire; AmoncousinetgrandfrèreFranckTIGOUE,safemmeClaudine,sesfrèresetsesenfants ChrisetWilliampourleursoutienindéfectibleetleurconfiancesansfailleenmescapacités; AmestantesMmeMESSAVUSSUAnyéléganEssivietMmeTIGOUEBenedictanée MESSAVUSSU,mononcleProsperMESSAVUSSUpourm avoirsupportéetsoutenutout aulongdececycleingénieur; A mes frères M. MESSAVUSSU Adoté Kossi (John), Ernesto, Moïse et à ma sœur Bélindapourleursencouragements; AmonfilsClaudeJuniorMESSAVUSSUetàsamèreHOUTONDJIAkouaviDjénépour leuramourquim atoujoursinspiré; A mes sœurs AGBODAZE Amévi Tékla, ATAYI Ayikoélé Augustine, mon frère AGBODAZEKodjoGloriaetmestantesMIKEMMamavietTEOURIRyssala; AtousmesamissincèresMuriel,Roland,Kézié,Claire,Jérémie,HervéetBenny. Etàtousmesproches,amisetconnaissancesquejen aipaspuciterici i
Résumé Ensebasantsurlesétudesetenquêtesmenéesàtraverslemonde,onserendbiencompte qu ildevientdeplusenpluscompliquédegarantirlasécuritédessystèmesd informations. Cettesituationquiestessentiellementdueàlamultiplicationinquiétantedesmenacesen matièredesécuritéinformatiques expliqueparlaproliférationdesoutilspermettantde réaliserlesattaquesinformatiquesetparladécroissancecontinueduniveaudeconnaissance nécessairepourl utilisationdecesoutils.faceàcettesituation,denouvellessolutionset mesuresdesécuritén ontpasaussicessédevoirlejouretdeseproliférer. Cependantleproblèmequiseposetoujoursc estdesavoircommentmettreenplaceces mesuresetsolutionsdesécuritéefficacementafinderéellementprotégerlessystèmes d informationcarlefaitdejuxtaposeretdemultiplierlessolutionsdesécuritésansanalyser aupréalableleurcompatibilitéetleursobjectifsrespectifsn ajamaisétéunesolutionfiable. Danscecontexte,lesstratégiesdesécuritédontl implémentationsetraduitparladéfinitionet lamiseenapplicationd unepolitiquedesécuritéconstituentlemeilleurmoyend atteindreles objectifsdelasécuritéinformatique. Malheureusement,onserendbiencompteaujourd huiquemalgrétouteslesmesureset stratégies de sécurité qu on peut mettre en place, les systèmes d informations restent néanmoinsvulnérablesàcertainesattaquescibléesouàdesintrusions.c estpourquoidepuis quelquesannées,lesexpertsdelasécuritéparlentdeplusenplusd unnouveauconceptà savoirladétectiond intrusion.l étudedeladétectiond intrusionnouspermettrademieux comprendrelessystèmesdedétectionetdepréventiond intrusionsetdevoircommentils arriventàrenforcerlasécuritéenfermantlestrousdesécuritélaissésparlesmesures classiquesdesécurité. Abstract Whilebasingoneselfonthestudiesandsurveyscarriedoutthroughouttheworld,onerealizes wellthatitbecomesincreasinglycomplicatedtoguaranteetheinformationsystemsecurity. Thissituationwhichisprimarilyduetotheworryingmultiplicationofthethreatsasregards computersecuritycanbeexplainedbyproliferationofthetoolsmakingitpossibletocarry outcyberattacksandbythedecreasinglevelofknowledgenecessaryfortheuseofthese tools.vis a visthissituation,newsolutionsandsafetymeasuresareinvented. Howeverthedifficultywhichalwaysarisesitistofindthewayhowtosetupthese measurementsandsolutionsofsafetyeffectivelyinordertoreallyprotecttheinformation systemsbecausethefactofjuxtaposingandmultiplyingthesolutionsofsafetywithoutfirst analyzingtheirrespectivecompatibilityandtheirobjectiveswasneverareliablesolution.in thiscontext,thestrategiesofsafetywhoseimplementationresultsinthedefinitionandthe implementationofapolicyofsafetyconstitutethebestmeansofachievingthegoalsofthe computersecurity. Unfortunately,onerealizeswelltodaythatdespiteeverymeasurementsandstrategiesof safetywhichonecansetup,theinformationsystemsremainneverthelessvulnerableto certaintargetedattacksorintrusions.thisiswhyforafewyears;theexpertsofsafetyhave spokenmoreandmoreaboutanewconceptwhichisintrusiondetection.thestudyof intrusiondetectionwillenableustobetterunderstandtheintrusiondetectionandprevention systemsandtoseehowtheycanbemanagedtoreinforcesafetybyclosingthesafetyholes leftbytraditionalsafetymeasurementsandsolutions. ii
Tabledesmatières Remerciements...i Résumé...ii Abstract...ii Tabledesmatières...iii Tabledesillustrations...vi Listedestableaux...viii Introduction...1 Chapitre1:Evolutionsdelasécuritéinformatique...2 I.1Evolutionsdel informatique...2 I.2Lesmenacesenmatièredesécuritéinformatique...4 I.2.1Lesattaquesinformatiques...5 I.2.2Lecasspécialdesintrusions...10 I.3Lessolutionsenmatièredesécuritéinformatique...13 I.3.1Lesservicesetmécanismesdesécuritéinformatique...14 I.3.2Classificationetprincipesdesmesuresdesécurité...16 I.4Etatdeslieuxdelasécuritéinformatiquedanslemonde...18 Chapitre2:Lesstratégiesdesécuritédessystèmesd information...30 II.1Définitionsetconceptsdesstratégiesdesécurité...30 II.1.1Définitions...30 II.1.2Conceptsdesstratégiesdesécurité...31 II.1.2.1Pourquoilesstratégiesdesécurité?...32 II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire...33 II.2Miseenplaced unedémarchesécuritaire...34 II.2.1Méthodesetnormesd élaborationdedémarchessécuritaires...35 II.2.1.1Principalesméthodesfrançaises...35 II.2.1.2NormesinternationalesISO/IEC17799...36 II.2.2Lastratégieglobaled entreprise...37 II.2.3Lesstratégiesdesécuritédessystèmesd information...39 II.2.3.1Identificationdesvaleursetclassificationdesressources...40 II.2.3.2Analysedesrisques...41 II.2.4Lespolitiquesdesécurité...42 II.3Caspratiquesd unedémarchesécuritaireauseind unepme...43 II.3.1PrésentationdelaPME...44 II.3.1.1Présentationgénérale...44 II.3.1.2Patrimoineinformatique...44 iii
II.3.1.3Lasécurité...45 II.3.1.4Contexte...46 II.3.2ApplicationdeladémarcheMEHARI...47 II.3.2.1PrésentationdelaméthodeMEHARI...47 II.3.2.2Leplanstratégiquedesécurité...47 II.3.2.2.1Métriquedesrisquesetobjectifsdesécurité...48 II.3.2.2.2Valeursdel entreprise:classificationdesressources...50 II.3.2.2.3Lapolitiquedesécurité...55 II.3.2.2.4Lachartedemanagement...55 II.3.2.3Planopérationneldesécurité...55 II.3.2.3.1Préliminaires...56 II.3.2.3.2Auditdel existant...58 II.3.2.3.3Evaluationdelagravitédesscénarii...60 II.3.2.3.4Expressiondesbesoinsdesécurité...62 II.3.2.4Planopérationneld entreprise...63 II.3.2.4.1Choixd indicateursreprésentatifs...63 II.3.2.4.2Elaborationd untableaudeborddelasécuritédel entreprise...63 II.3.2.4.3Rééquilibragesetarbitragesentrelesunités...64 II.3.2.4.4Synthèse...64 Chapitre3:Lessystèmesdeprotectioncontrelesintrusions...65 III.1Situationdelasécuritédessystèmesd informationdanslasous régionouest africaine...66 III.2Conceptsdessystèmesdeprotectioncontrelesintrusions...68 III.2.1Définitionetprincipesdefonctionnement...68 III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions...70 III.3Typologiesetfamillesdessystèmesdeprotectioncontrelesintrusions...72 III.3.1Typologiesdessystèmesdeprotectioncontrelesintrusions...72 III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions...73 III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante...73 III.3.2.2LeHostIDS:Unesolutionquimonte...74 III.4Limitesdessystèmesdeprotectioncontrelesintrusions...75 III.4.1Fauxpositifsetfauxnégatifs...76 III.4.2Lemode promiscuous...77 III.4.3Ladéfinitionetlamaintenancedessignatures...77 III.4.4L apprentissageetlaconfigurationdesids...78 III.5Etudescomparativesdequelquessystèmesdeprotectioncontrelesintrusions..78 III.6PrésentationdeSnort,SnortSAMetdeBASE...80 III.6.1Description...80 iv
III.6.2Installation...80 III.6.3Configuration...82 III.6.5Exécution...82 III.6.6Créationdenouvellesrègles...83 III.6.7SnortSam...85 III.6.8LaconsoleBASE...85 Conclusion...87 Glossaire...88 Bibliographie...91 Webographie...92 v
Tabledesillustrations Figure1 1:Catégoriesderéseauxsansfils...3 Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à2003...4 Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis...5 Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique...6 Figure1 5:Répartitiondesattaquesdephishing...7 Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues)...8 Figure1 7:CampagnesdespamparpaysenMaietJuin2008...8 Figure1 8:Payshébergeursdesitesmalveillants...8 Figure1 9:Partdesversionsdesnavigateurslesplussécurisés...9 Figure1 10:Etapesderéalisationd uneintrusioninformatique...12 Figure1 11:Top5desvirusenJuin2008...13 Figure1 12:Statistiquesdessystèmesdesécuritédéployésen2007...14 Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité...16 Figure1 14:Statistiquesdesréponsesparsecteurd activité...19 Figure1 15:Statistiquesdesréponsesparsituationgéographique...19 Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage...20 Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques...20 Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés...21 Figure1 19:Typesd usagedel ordinateurfamilial...22 Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées...22 Figure 1 21: Statistiques du nombre d incidents subit ces 12 derniers mois par les organisations...24 Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise....24 Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI...25 Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité...25 Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleur sitesweb...26 Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident...26 Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes...27 Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen2007...28 Figure2 1:Objectifsdelasécurité...31 Figure2 2:étapesderéalisationd unedémarchesécuritaire...34 Figure2 3:lesméthodespréconiséesparleClusif...35 vi
Figure2 4:DomainesdesécuritédelanormeISO177992000...37 Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire...38 Figure2 6:lasécurité,uncompromis...38 Figure2 7:Maitrisedesrisquesetprocessusdesécurité...39 Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen200840 Figure2 9:Stratégiesetpolitiquesdesécurité...43 Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics»...44 Figure2 11:Classificationdesvaleursdel entreprise...51 Figure2 12:Elaborationduplandesécurité...56 Figure3 1:Entreprisesdisposantd unestratégiedebackupoff site...66 Figure3 2:Pourcentagedesréponsesausujetdeladémarchesécuritaire...67 Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«passives»...67 Figure3 4:Pourcentagedeprotectioncontrelesintrusions«actives»...67 Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan...68 Figure3 6:Fonctionnementd unids...69 Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oude détectiond intrusions(nids)...69 Figure3 8:Fonctionnementd unips...70 Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions..72 Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE)...86 vii
Listedestableaux Tableau 1 1: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau 1 2: Statistiques des brèches de sécurité provenant des sources internes aux organisateurs...23 Tableau2 1:Analysedesrisquesdessystèmesd information...42 Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité...42 Tableau2 3:Mesuresdeprotection...48 Tableau2 4:Mesurespalliatives...48 Tableau2 5:Mesuresderécupération...48 Tableau2 6:Mesuresderéductiond impactduscénario...48 Tableau2 7:Grilled évaluationdel impactdescénario...49 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle...49 Tableau2 9:Mesuredissuasives...49 Tableau2 10:Mesurespréventives...49 Tableau2 11:Grilleduniveaudepotentialité...50 Tableau2 12:Grilled évaluationduniveauderisque...50 Tableau2 13:Domained activitésetprocessusde«bénincosmetic»...52 Tableau2 14:Déterminationdescritèresd impact...53 Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu...53 Tableau2 16:Recensementdesressources...54 Tableau2 17:Déterminationdelavaleurpropredechaqueressource...54 Tableau2 18:Tableaudesynthèsedelaclassificationdesressources...54 Tableau2 19:Décompositioncellulairedel entreprise...57 Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact...58 Tableau2 21:Extraitsduquestionnaired auditdeslocaux...59 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal...60 Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Base desconnaissances)...61 Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés...61 Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellule exploitationdesserveurs...62 Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécurité applicationges_drh...62 Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction...63 viii
Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretde fabrication...63 Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavec l usinedeparakou...63 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii...64 Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéet retouràunesituationnormale...64 Tableau3 1:LesentreprisesOuest africainesconcernéesparl enquête...66 Tableau3 2:ComportementsenvisageablespourunIDS...76 Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions..80 ix
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Introduction Lavaleurdenotrecivilisationsedéplaceinéluctablementverslasphèreimmatérielle.La miniaturisationcontinuedel électronique,l accélérationdesperformancesdesréseauxde communicationetledéploiementinexorabledesinfrastructuresinformatiquesédifientune urbanisationdigitalequifavorisel accèsàl informationetfacilitelacommunication.cette évolution de l informatique, de l électronique, et surtout des systèmes distribués a malheureusement contribué à faire évoluer de manière considérable les menaces informatiques.lesrisquesauxquelssontconfrontéeslesentreprisesetlesorganisations aujourd hui sont tels que la sécurité informatique prend une place de plus en plus prépondéranteetvitaleauseindesinstitutionsprivéesetpubliques.ilnes agitplusde considérerlasécuritécommeunluxeréservéauxgrandesorganisationsouentreprisescaril n estpasrared assisterdenosjoursàdesprisesd otagesdepetitssystèmesouréseauxafin des enservircommerelaispourréaliserdesattaquesdegrandesenverguressurdegros systèmesouréseaux. Aumêmemoment,leniveaudeconnaissancerequispourdevenirpiratenecessedediminuer enraisondelaproliférationd outilsetdelogicielsmalfaisants(malwares)disponibles gratuitementsurleweb.vuecettesituationinquiétante,poursurvivreetpoursuivre,avecun minimumdesécuritéleursactivités,lesentreprisesetlesorganisationsdoiventadopteret mettreenœuvredesstratégiesdesécurité.cesdernièressontenfaitdesensemblescohérents etcompatiblesdemesuresdesécuritéquivisentàprotégerlessystèmesd informationsdes entreprisesdesattaquesetd incidentsdetoutessortes,oud enréduireautantquepossibleles impacts. Toutefois,ilarriveparfoisquedesincidentsdetypesintrusionsouattaquessurviennent malgrétouteslesmesuresetstratégiesdesécuritémisesenplace.cesincidentsquisontde plusenplusnombreuxpeuventprovenirdel intérieurcommedel extérieurdesréseauxdes entreprisesoudesorganisations.faceàcettesituation,denouveauxsystèmesdesurveillance (lessystèmesdedétectiond intrusionouids)etdeprotection(lessystèmesdeprévention d intrusionouips)sontdéveloppésdepuisquelquesannéesparleséditeursdesolutionsde sécurité.malheureusement,cesoutilssontencoreméconnusettrèsrarementutilisésen Afrique. Danslapremièrepartiedecedocument,nousavonsréaliséuneétudeconcernantl évolution desmenacesetsolutionsenmatièredesécuritéinformatiquequiadébouchéesurunétatdes lieuxdelasécuritéinformatiquedanslemonde.dansladeuxièmepartie,nousavonsmisen évidencelanécessitépourlesorganisationsd allerversunevisionpluslargedelasécuritéde leurssystèmesd informationsàtraverslesstratégiesetpolitiquesdesécurité.c estdansce sensquenousavonsconcrétisécetteapprocheparl applicationdelaméthodemehariàune PMEduBénin.Latroisièmeetdernièrepartiedecedocumentapourobjectifdemontrer l intérêtpournosentreprises(ouestafricainesdansunemoindremesureetafricainesen général)d unemiseenplaceefficaceetstratégiquedenouveauxsystèmesdesurveillanceet deprotectioncontrelesintrusionsafinderenforcerlasécuritéauseindesinfrastructures informatiquesetréseaux. 1
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre1:Evolutionsdelasécuritéinformatique I.1Evolutionsdel informatique L'informatique peut être définie de manière classique comme la science du traitement automatique et rationnelle de l information. Son outil par excellence est l ordinateur. L informatiqueaconnudesévolutionsetparfoisdesrévolutionsquisesontsuccédéaucours desannées. L'èredesordinateursmodernesacommencéavecledéveloppementdel'électroniqueaucours delasecondeguerremondiale,ouvrantainsilaporteàlaréalisationconcrètedemachines opérationnelles.aumêmemoment,lemathématicienalanturingthéorisaitlepremiersurla notiond ordinateur,avecsonconceptdemachineuniverselle.l'informatiqueestdoncune science des temps modernes, même s'il trouve ses origines dans l'antiquité (avec la cryptographie)oudanslamachineàcalculerdeblaisepascal,auxviiesiècle.cen'estqu'à lafindelasecondeguerremondialequ'elleaétéreconnuecommeunedisciplineàpart entièreetadéveloppédestechniquesetdesméthodesquiluiétaientpropres. Danslesannées40,unordinateuroccupaituneplacegigantesqueetétaittrèsfréquemment soumisàdespannes.en1947,l inventiondessemi conducteursapermisderéaliserdes ordinateurspluspetitsetd uneplusgrandefiabilité.danslesannées50,lesgrandes organisationscommencèrentàutiliserdegrosordinateursdegestionfonctionnantavecdes programmessurcartesperforées.puisàlafindesannées50,lescircuitsintégrésqui combinaientquelquestransistorssurunepetitepucefirentleurapparition.lesannées60 virentl utilisationmassivedessystèmesd ordinateurscentrauxdesservantdesterminaux. Audébutdesannées70,lepremiermicroprocesseur,l Intel4004faisaitsonapparition.Il permettaitd'effectuerdesopérationssur4bitssimultanément.en1981,ibmcommercialise lepremier«pc»composéd'unprocesseur8088cadencéà4.77mhz. Actuellement,ilesttrèsdifficiledesuivrel'évolutiondesmicroprocesseurs.Eneffet,cette évolutionsuitlaloidemoorequifuténoncéeen1965pargordonmoore,cofondateurd'intel quiveutquelenombredetransistorssurunprocesseurdoubletouslesdeuxans,augmentant ainsisesperformances.intelestdéjàarrivéàmettrejusqu à1,7milliarddetransistorssurune pucede65nm(montecito).pourcomparaison,lefameuxpentium4(3,4ghz)qu onatant décrié était en fait une puce de 90 nm avec seulement 125 millions de transistors. Aujourd hui,intelréussiàréduirelatailledespucesà45nm. Laminiaturisationdescomposantsetlaréductiondescoûtsdeproduction,associéesàun besoindeplusenpluspressantdetraitementdesinformationsdetoutessortes(militaires, scientifiques,financières,commerciales,etc.)ontentraînéunediffusiondel'informatique danstouslessecteursd activitéshumaines.quantàl Afrique,cen estquedanslesannées 1980qu elleavuledébutdudéveloppementdel'informatique. Lanotionderéseauinformatiqueconnaîtaussidepuisprèsdequatredécennies,d énormes transformationsetévolutions.c estaudébutdesannées60quefurentconstituéslespremiers réseauxavecl apparitiondesmodems.cesderniersservaientàconnecterdesterminaux passifsàunordinateurcentral.lesmodemsavaientunevitessede300bits/s,soitune trentainedecaractèresparseconde.ensuite,danslesannées70,lessystèmesbbs(bulletin Board System) apparaissaient. Ils offraient des services informatisés d échanges d informations,auxquelslesutilisateurspouvaientseconnecternotammentpourafficherdes messagesetyrépondre.lavitessedeconnexionétaitencorede300bits/s.danslesannées80 lessystèmesbbssontdevenustrèsrépandusetlavitessede300b/sesttrèsvitedevenue 2
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS insuffisantepourletransfertdesdocumentsvolumineuxcommelesgraphiques.dansles années1990,ledébitdesmodemsestpasséà9600 bits/s.eten1998,lavitessestandardde années1990,ledébitdesmodemsestpasséà9600bits/s.eten1998,lavitessestandardde 56Kbits/s,aétéatteinte. Lesmédiasdetransmissionsontpassésdescâblescoaxiauxauxpairestorsadéespourenfin aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesr aboutiràlafibreoptiquequiestactuellementtrèspriséequandils agitderéaliserlesréseaux fédérateurs(backbones). Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est à direla Ilexisteaussidesréseauxsansfildontl intérêtleplusévidentestlamobilité(c'est libertédemouvementdesutilisateurs).cesréseauxontconnudepuisleurapparition,des évolutionsmajeures.lapremière normepourcesréseauxestleieee802.11.elleaété évolutionsmajeures.lapremièrenormepourcesréseauxestleieee802.11.elleaété publiéeen1997.elleoffraitundébitde1ou2mbits/sàunefréquencede2,4ghz.la deuxième(ieee802.11a;jusqu à54mbits/sà5ghz)etlatroisièmenorme(ieee802.11b; 11Mbits/set2,4GHzpourlafréquence)apparurentautourde1999.D autresnormesdansce urlafréquence)apparurentautourde1999.d autresnormesdansce domainecontinuentd êtreréalisées. domainecontinuentd êtreréalisées. Figure Figure1 1:Catégoriesderéseauxsansfils ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,leWimaxetlesréseauxsansfil ParmilesréseauxsansfilsonretrouveleBluetooth,lewifi,le etlesréseauxsansfil destélécommunications(gsm,gprs,umtsetc.). destélécommunications(gsm,gprs,umtsetc.). Ainsi,toutadébutéavecleconceptdel informatiquecentraliséeavecdetrèsgrands ordinateursquioccupaientdegrandessallesavecplusieursterminauxquigravitaienttout tdegrandessallesavecplusieursterminauxquigravitaienttout autour.ensuiteonestpasséàl informatiqueàdistanceavecl utilisationdesmodemsen empruntantlesréseauxpublicsdetélécommunication.etdéjààcetteétapeseposaitle problèmedeslignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. lignestéléphoniquesquin étaientpasgéréesparlesentreprisesellesmêmes. Commentpouvait ongarantirlasécuritédesinfo ongarantirlasécuritédesinformationsquiytransitaient rmationsquiytransitaient?l autresouci majeurquecréaitl Informatiquecentralisé quecesoitàdistanceounonc étaitquetoutesles majeurquecréaitl Informatiquecentraliséequecesoitàdistanceounonc étaitq applicationsrésidaientsuruneseuleetmêmemachine.cequifaisaitqu encasdepanneou d accident,uneentreprisepouvaittoutperdreenunbrefinstant. d accident,uneentreprisepouvaittoutperdreenunbrefinstant. Après cette étape, est arrivée celle de l informatique distribuée que nous connaissons connais maintenantavecl introductionparexempledemultiplesserveurschacundédiéàunetâche bienspécifique.danslessystèmesdistribués,onpeutretrouverparexemplepourune institutionbancaireunserveurpourlapaie,unautrepourgérerlareconn institutionbancaireunserveurpourlapaie,unautrepourgérerlareconnaissancedes signaturesdesclients,unautrepourgérerlescomptesdesclientsetc.ledéfiréelétaitdonc detrouverunmoyendefairefonctionnertoutcetarsenaldeserveursensemble.ils agissait surtoutd éviterauxutilisateursd avoiràs authen tifier(loguer)surchaqueserveur.des surtoutd éviterauxutilisateursd avoiràs authentifier(loguer)surchaqueserveur.des 3
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS systèmescentralisésd authentificationontdoncvulejour.ils agitdessystèmescomme Kerberos,Radius,Samba,ActiveDirectoryetc. Avecledéveloppentdesréseaux,unnouveautyperéseauavulejour.Ils agitd Internet. Aujourd hui,avecinternet,onassisteàuneunificationdesréseaux.ainsi,lesintérêtsdela miseenplaced'unréseausontmultiples,quecesoitpouruneentrepriseouunparticulier. Aprèsavoirdécortiquélesdifférentesétapesdel évolutiondel informatiqueetdesréseaux, nousallonspasserenrevuelesmenacesenmatièredesécuritéinformatique. I.2Lesmenacesenmatièredesécuritéinformatique Leconceptdelasécuritéinformatiqueetdel Internetn acessédechangerdevisageetde dimensionaumêmetitrequel évolutiondestechnologies;aucoursdesannées1940,la notiondesécuritéinformatiqueétaitessentiellementaxéesurdesaspectsphysiques.il suffisaitdesécuriserl accèsphysiqueàl ordinateurcentral(mainframe),auxterminauxet auxmédiasdeconnexionpourempêchertoutaccèsauxindividusnonautorisés.ilétait d autantplusfaciledegarantirlasécuritédesdonnéespuisqu onpouvaitdéterminerà l avancetouteslesportesd accèspossiblesetdéveloppersastratégiedesécurité. Lasécuritédesréseauxatoujoursétéunepréoccupation.Ilatoujoursexistédesentités décidéesàmenerdesactionspeurecommandablesàl égarddessystèmes. Le nombre d incidents de sécurité rapportés au Computer Emergency Response Team CoordinationCenter(CERT)augmentechaqueannéedefaçonexponentielle.Moinsde200 en1989,environ400en1991,1400en1993et2241en1994.aucoursdeladécennie1988 1998lenombred incidentsrapportésatteignitles16.096.ilsseproduisentsurlessites gouvernementauxetmilitaires,parmilesgrossescompagnies,danslesuniversitésetdansles petitesentreprises.certainsincidentsn impliquentqu unseulcomptesurunsystème,tandis qued autrespeuventimpliquerplusde500000systèmesàlafois.cesnombresnesontbien sûrquelapartieémergéedel iceberg.denombreusesintrusionsouviolationsdesécuriténe sontsouventpasdéclaréesaucentredecoordinationducertouauxautresorganisations deréponseauxincidentsdesécurité.danscertainscasc estparcequelesorganisations victimespréfèrentévitertoutepublicitéouaccusationd imprudence,dansd autrescasc est parce que les intrusions ne sont même pas détectées. On ne peut estimer le nombre d intrusionsréellementdétectéesparlessitesattaqués,maislaplusgrandepartiedela communautédesexpertsensécuritéinformatiquepensequ ilnes agitqued unfaible pourcentage.billchestwick,desat&tbelllabs,pensequesurlesattaquesréussies,au moins40%desattaquantsaccèdentàuncomptesuper utilisateur(sourcefirewallsdigest,31 mars1995). Figure1 2:Statistiquesdesincidentsinformatiquesdanslemondede1988à2003 4
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecyberespaceestunmondedangereux,ettroppeus enrendentcompte.auxpremiersjours del Internet,lessitesconnectésauréseaudisposaientengénérald équipesentièresde gourouss occupantdumatérieletdulogiciel.aujourd hui,seconnecteràinternetestdevenu sibanalequelesutilisateursoublientqu ilfautunecertainesophisticationtechniquepourse connecterentoutesécurité. Lesprogrèstechnologiquesneprofitentmalheureusementpasqu auxutilisateurslégaux;ils sontaussimisàcontributionpouraméliorerlestechniquesdeviolationdespolitiquesde sécurité.lestechniquesd attaquesontconnuuneévolutionremarquableaucoursdecesvingt (20)dernièresannées,lesoutilspermettantd attaquerlessystèmesd informationssont devenusbienpluspuissantsetplusfacileàutiliser.cettefacilitéd utilisationaabaisséle niveaudeconnaissancestechniquesnécessairespourlanceruneattaque,augmentanten conséquencedefaçonexponentiellelenombred assaillantspotentiels. Figure1 3:Rapportentresophisticationdesoutilsetniveaudeconnaissancerequis Danscettepartiedenotredocument,nousallonstenterdecatégoriserlesdangersoules risquesauxquelssontexposéslessystèmesd informationendeuxgrandescatégoriesque nousdécortiqueronssuccessivementenprofondeur.ils agiradevoirdansunpremiertemps lesdangersquel onappelleparfoisaussirisquesouattaquesinformatiquesengénéraletdans undeuxièmetempsnousparleronsducasspécialdesintrusions. I.2.1Lesattaquesinformatiques Uneattaqueinformatiqueestl'exploitationd'unefailled'unsystème(systèmed'exploitation, logicieloubienmêmedel'utilisateur)àdesfinsnonconnuesparl'exploitantdusystèmeet généralementpréjudiciables. SurInternetdesattaquesontlieuenpermanence.Cesattaquessontpourlaplupartlancées automatiquementàpartirdemachinesinfectées(appeléesbotnets)pardesvirus,deschevaux detroie,desversetautres,àl'insudeleurpropriétaire.lesmotivationsdesattaquespeuvent êtrededifférentessortes: obtenirunaccèsausystème; voler des informations, tels que des secrets industriels ou des propriétés intellectuelles; 5
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS glanerdesinformationspersonnellessurunutilisateur; récupérerdesdonnéesbancaires; s'informersurl'organisation(entreprisedel'utilisateur,etc.); troublerlebonfonctionnementd'unservice; utiliserlesystèmedel'utilisateurcomme«rebond»pouruneattaque; utiliserlesressourcesdusystèmedel'utilisateur,notammentlorsqueleréseausur lequelilestsituépossèdeunebandepassanteélevée. Lessystèmesinformatiquesmettentenœuvredifférentescomposantes,allantdel'électricité pouralimenterlesmachinesaulogicielexécutévialesystèmed'exploitationetutilisantle réseau.lesattaquespeuventinterveniràchaquemaillondecettechaîne,pourpeuqu'ilexiste unevulnérabilitéexploitable.leschémaci dessousrappelletrèssommairementlesdifférents niveauxpourlesquelsunrisqueenmatièredesécuritéexiste: Figure1 4:Lesniveauxdevulnérabilitéd unsystèmeinformatique Ilyad abordlesattaquesquivisentl accèsphysiqueetl environnementdusystème d information.ils'agitdescasoùl'attaquantaaccèsauxlocauxetéventuellementmêmeaux machines.ils agitsouventdesévénementscomme: Lescoupuresdel'électricité; L extinctionmanuelledesordinateursoudesserveurs; Levandalisme; L ouverturedesboîtiersdesordinateursetlevoldesdisquesdurs composants; oud autres L écoutedirectedutraficsurleréseauc'est à direensebranchantdirectementsurle backboneousuruncore switch(commutateurprincipal)parexemple. Ces attaques que l on pourrait qualifier de basiques étaient surtout à la mode quand l informatiqueétaitencoreàsesdébuts.c'est à direl èredel informatiquecentralisée. Aprèslesattaquesvisantlesaccèsphysiquesetl environnement,ilyacellesutilisantles interceptionsdescommunicationscomme: L usurpationderessourcesoudesparamètresd'identité(motsdepasse,adressesip, adressesmac); Ledétournementoualtérationdemessages(ManIntheMiddle,BruteForceattack etc.); Levoldesession(sessionhijacking),l ARPpoisoning,l écouteréseau,lebalayagede portsetc. 6
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Ensuite,ilyalesattaquesdetypedénideservice.Ils'agitdesattaquesvisantàperturberle bonfonctionnementd'unservicedusystèmed exploitationoud uneapplication.ondistingue habituellementlestypesdedénideservicesuivant: ExploitationdefaiblessesdesprotocolesTCP/IP; Exploitationdevulnérabilitédeslogicielsserveurs. Parmilestechniquesutiliséespourréalisercetyped attaque,onpeutciterlesattaquespar réflexion,lesattaques«pingdelamort»(pingofdeath),lesattaquesparfragmentation,les attaquesland,lesattaquessynetc. Pourterminerlapremièrepartiedecettetypologiedesattaquesinformatiques,nousallons citerlesarnaquesréaliséesgrâceauxoutilsinformatiques.ilyadanscettesouscatégories l ingénieriesociale,lescam,lephishing(quiprenddel ampleurcesdernièresannées)et enfinlesfaussesloteriesd Internet(Hoaxenanglais). L ingénieriesocialeaatteintquantàelleunnouveaudegrédesophistication,avecnotamment lechevaldetroie«small.dam»quiacausédesravagesconsidérablesenjanvier2007. Souscouvertdesgrostitresdel'actualitéliésàdevéritablesévénementstelsquelestempêtes quisesontproduiteseneuropeenjanvier,ilaréussiàsepropagerdanslemondeentieren uneseulenuit. LaTurquie,quienmaidecetteannée2008avaitcréelasurpriseendépassantlesEtats Unis, demeureundespremierspaysenmatièredephishing.elletalonneeneffetlesetats Unisà 20,10%.Enmai2008,cettepartétaitde24,36%,contre16,94%pourlesEtats Unis.La Pologne,déjàclasséedepuisplusieursmoisavecprèsde10%desattaquesdephishing,faitun nouveaubondpouratteindreles15%.lachine,siellehébergedenombreuxsitesinfectés, restesousleseuildes7%,aprèstoutefoisêtremontéejusqu'à9%enmai. Figure1 5:Répartitiondesattaquesdephishing Souvent,lorsdesattaques,lespiratesgardenttoujoursàl'espritlerisquedesefairerepérer, c'estlaraisonpourlaquelleilsprivilégienthabituellementlesattaquesparrebond(par oppositionauxattaquesdirectes),consistantàattaquerunemachineparl'intermédiaired'une autre,afindemasquerlestracespermettantderemonteràlui(tellequesonadresseip)etdans lebutd'utiliserlesressourcesdelamachineservantderebond.celamontrel'intérêtde protéger son réseau ou son ordinateur personnel car il est possible de se retrouver «complice»d'uneattaqueetencasdeplaintedelavictime,lapremièrepersonneinterrogée seralepropriétairedelamachineayantserviderebond. Avecledéveloppementdesréseauxsansfils,lesattaquessontencoreplusfacilesàréaliser surtoutlorsqueleréseausansfilestmalsécurisé,unpiratesituéàproximitépeutl'utiliser pourlancerdesattaques. Toutesattaquesconfondues,laChinequirassemblaitàelleseule42,96%desmenacesenmai decetteannée2008,nereprésenteplusque12,95%decelles ci.lesetats Unisontrécupéré 7
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lapremièreplaceà25,91%,devantdeuxpaysfortsenmatièredephishing,àsavoirlaturquie etlapologne.larussiesouventprésentéecommeunétatsourced'attaquesdoublesapart entremaietjuin,pours'établirà5,54%. Figure1 6:Répartitionglobaledesattaques(toutescatégoriesconfondues) En matière de courriers indésirables (spam), le nombre de campagnes des deux superpuissancesduspamquesontlesetats UnisetlaChineétaitdenouveauàlahausseen Juin2008parrapportàmai2008.UneaugmentationétaitégalementànoterpourlaRussie. Figure1 7:CampagnesdespamparpaysenMaietJuin2008 Enrevanche,lescampagnesd'originesbritanniqueetcoréenneétaientellesenreculd'unmois surl'autre.cespaysenregistraientpourtantunehausseenmai.lesautresnationsémettrices despamétaient,parordredécroissant:allemagne(178),japon(153),france(145),brésil (128)etl'Inde(127). Ilyaaussidesvulnérabilitésduwebquisontsouventexploitéespourréaliserdesattaques. Parmielles,onalamanipulationd'URL,le«Cross SiteScripting»etlesinjectionsSQL. Encequiconcernelespayshébergeursdesitesmalveillants,legraphesuivantnouséclaire suffisamment.d'aprèsledernierrapportdel'associationstopbadware.org(juin2008),les siteswebmalveillantsseconcentrentenchine.ainsisur200000sitesinfectés,52%sont hébergéssurdesréseauxchinois. Figure1 8:Payshébergeursdesitesmalveillants LesEtats Unisarriventloinderrièreavec21%desitesdangereux.Quantauxautrespays,ils nedépassentpasleseuildes4%.cettepositiondelachineestl'unedesgrandestendances notéeparstopbadwareparrapportà2007.lepremierréseauhébergeurdesitesmalveillants 8
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS était alors américain (ipower) avec 10000 sites. Il s'agit désormais de CHINANET BACKBONEavec50000. Aujourd hui,lesmenacesinformatiquesserventmêmedesobjectifsetdesintérêtspolitiques. C estdanscesensquerécemmentdansleconflitquiaopposélarussieetlagéorgie,les sites Web du gouvernement géorgien ont été victimes d'attaques en déni de service visiblementrelayéespardeshébergeursrussesselonlesaccusationsdelagéorgie Avecunemenacequis'estdéplacéeprogressivementdelamessagerieverslessitesWeb,et quicibledoncdésormaislesnavigateurs,leshabitudesetlespratiquesdesinternautesà l'égarddecesdernierssontdevenuescapitales.confrontésdeplusenplusàdespagesweb malveillantes,exploitantparexempleunefailledanslenavigateur,lesinternautessonten effetplusexposésdésormais.lasécurité,oudumoinslarobustessedunavigateurest devenuedoncuncritèremajeur.selonlemagazinejdnsolutions,deschercheursensécurité ontrévélésqueseuls60%desinternautesutilisentunnavigateuràjouretque40%utilisent unnavigateuràrisque.lesutilisateursdefirefoxseraientlesplusrigoureux.ceuxd'internet Explorerseraientenrevanchepluslaxistes. Figure1 9:Partdesversionsdesnavigateurslesplussécurisés Ainsi,cesontrespectivement83,3%desutilisateursdeFirefox,65,3%deSafari,56,1% d'operaet47,6%d'internetexplorerquidisposentd'uneversionàjour.leschercheursjugent leprocessusdemigrationgénéralementlent,hormispoursafari3verslequelplusde60%des utilisateursdesafariavaientmigrédanslestroismoisquiontsuivisasortie.cettemiseàjour accéléréepourraitselonl'études'expliquerparlaprocédure(décriée)automatiqueintégréeà d'autreslogiciels(dontitunes)décidéeparapple. Principauxvecteursdecourriersindésirables(spam),lesbotsseraientcentcinquantemillions 150000000selonVintonCerf,leco inventeurdetcp/ip.selonuneautreestimation,entre5 000et30000ordinateursseraienttransformésenPCzombieschaquejour.Lorsdeson dernierrapport,symantecendécomptait6millionsdanslemonde,enhaussede29%sur6 mois. Unréseaudemachineszombiespeutêtreconstituéetcontrôléparuneouplusieurspersonnes, afind'obtenirunecapacitéconsidérableetd'avoirunimpactplusimportant.certainsgroupes decrackersencontrôleraientplusieurscentainesdemilliersauseinderéseauxdezombies, qu'onappellebotnetsàl'instardesréseauxderobotsircdumêmenom.cesbotnetspeuvent êtreutiliséspourcommettredesdélitscommelevoldedonnéesbancairesetidentitairesà grandeéchelle.lesbotnetssontplusàl'avantaged'organisationscriminelles(mafieuses)que depiratesisolés,etpeuventêtremêmelouésàdestierspeuscrupuleux.unréseaude machineszombiespeutaussiêtreutiliséafindefournirauxpiratesunepuissancedecalcul phénoménale,leurpermettantdedéchiffreruncodeenuntempsconsidérablementpluscourt quesurunemachine. 9
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lenombredemachineszombiesdansunpayspeutêtreévaluéàpartirdelaprovenancedes courriersindésirablesdétectés.lenombredepourrielsenprovenanced'unpaysparrapportà laquantitéglobaledepourrielsdétectésdonnedoncuneindicationdunombredemachines zombiesd'unpaysparrapportàl'ensembledesmachinesconnectéessurleréseau. SelonSophos[ATT08],début2007,lapremièreplaceaétéattribuéeauxÉtats Unisavec 22,0%.LadeuxièmeplaceétaitpriseparlaChine(incluantHong Kong)avec15,9%,puis parlacoréedusudavec7,4%.lafranceétaitquatrièmedecepalmarèsavec5,4%,suivie deprèsparl'espagneavec5,1%despourrielsdétectés. Aprèscebrefaperçudesattaques,menacesetdangersinformatiquesdanslemonde,nous allonsàprésentnousconcentrersuruneattaquespécialequiconsistepourunintrusà s introduiredansunsystèmeouunréseauinformatiqueétranger. I.2.2Lecasspécialdesintrusions Uneintrusionestuneformeparticulièred attaqueinformatiquecarlaplupartdesautres attaquesserventsouventàpréparerouàrendrelesciblesplusvulnérablesafindefaciliterla réalisationdesintrusions. Lesintrusionssontsouventeffectuéesdanslescontextesd espionnageindustrieloupolitique. Parexempleautoutdébutdumoisd octobre2008selonlarédactiondu«journaldunet», despiratesontpus'introduiredanslesystèmeinformatiqued'unfabricantsud coréende missilesetdéroberdesdonnées.selonlepremierrapportdel'administrationdelasécurité nationaledupays,lenationalsecurityresearchinstitute,lescyber attaquantssontparvenus àinstallerunprogrammemalveillantsurleréseaudel'industriellignex1hyundaiheavy Industries. Pourpouvoirmettreenœuvreunexploit(ils'agitdutermetechniquesignifiantexploiterune vulnérabilité),lapremièreétapeduhackerconsisteàrécupérerlemaximumd'informations surl'architectureduréseauetsurlessystèmesd'exploitationsetapplicationsfonctionnantsur celui ci. L'obtentiond'informationssurl'adressageduréseauvisé,généralementqualifiéedeprise d'empreinte,estsouventlepréalableàtouteattaque.elleconsisteàrassemblerlemaximum d'informationsconcernantlesinfrastructuresdecommunicationduréseaucible: AdressageIP; Nomsdedomaine; Protocolesderéseau; Servicesactivés; Architecturedesserveurs; etc. Enconnaissantl'adresseIPpubliqued'unedesmachinesduréseauoubientoutsimplementle nom de domaine de l'organisation, un pirate est potentiellement capable de connaître l'adressageduréseautoutentier,c'est à direlaplaged'adressesippubliquesappartenantà l'organisationviséeetsondécoupageensous réseaux.pourcelailsuffitdeconsulterlesbases publiquesd'attributiondesadressesipetdesnomsdedomaine: http://www.iana.net; http://www.afrinic.netpourl Afrique; http://www.ripe.netpourl'europe; http://www.arin.netpourlesetats Unis. 10
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lorsquelatopologieduréseauestconnueparlepirate,ilpeutlescanner(letermebalayerest égalementutilisé),c'est à diredétermineràl'aided'unoutillogiciel(appeléscannerou scanneurenfrançais)quellessontlesadressesipactivessurleréseau,lesportsouverts correspondantàdesservicesaccessibles,etlesystèmed'exploitationutiliséparcesserveurs. L'undesoutilslesplusconnuspourscannerunréseauestNmap,reconnupardenombreux administrateursréseauxcommeunoutilindispensableàlasécurisationd'unréseau.cetoutil agitenenvoyantdespaquetstcpet/ouudpàunensembledemachinessurunréseau (déterminéparuneadresseréseauetunmasque),puisilanalyselesréponses.selonl'allure despaquetstcpreçus,illuiestpossiblededéterminerlesystèmed'exploitationdistantpour chaquemachinescannée. Lorsquelebalayageduréseauestterminé,ilsuffitaupirated'examinerlesrapportsdesoutils utiliséspourconnaîtrelesadressesipdesmachinesconnectéesauréseauetlesportsouverts sur celles ci. Les numéros de port ouverts sur les machines peuvent lui donner des informationssurletypedeserviceouvertetdoncl'inviteràinterrogerleserviceafind'obtenir des informations supplémentaires sur les versions des principales applications serveurs (Apacheparexemple)danslesinformationsditesde«bannière». Aprèsavoirétablil'inventaireduparclogicieletéventuellementmatériel,ilresteaupirateà déterminersidesfaillesexistent.lorsquelepirateadresséunecartographiedesressourceset desmachinesprésentessurleréseau,ilestenmesuredepréparersonintrusion.pourpouvoir s'introduiredansleréseau,lepirateabesoind'accéderàdescomptesvalidessurlesmachines qu'ilarecensées.pourcefaire,plusieursméthodessontutiliséesparlespirates: L'ingénierie sociale. Ceci est généralement fait en se faisant passer pour l'administrateurréseau. Laconsultationdel'annuaireoubiendesservicesdemessagerieoudepartagede fichiers,permettantdetrouverdesnomsd'utilisateursvalides. L'exploitationdesvulnérabilitésdescommandesR*deBerkeley. Lesattaquesparforcebrute(bruteforcecracking). Lorsquelepirateaobtenuunouplusieursaccèssurleréseauense«logant»surunou plusieurscomptespeuprotégés,celui civachercheràaugmentersesprivilègesenobtenant unaccèsroot(enfrançaissuperutilisateur),onparleainsid'extensiondeprivilèges. Dèsqu'unaccèsrootaétéobtenusurunemachine,l'attaquantalapossibilitéd'examinerle réseauàlarecherched'informationssupplémentaires.illuiestainsipossibled'installerun sniffeur(enanglaissniffer),c'est à direunlogicielcapabled'écouter(letermerenifler,ouen anglaissniffing,estégalementemployé)letraficréseauenprovenanceouàdestinationdes machinessituéessurlemêmebrin.grâceàcettetechnique,lepiratepeutespérerrécupérer lescouplesidentifiants/motsdepasseluipermettantd'accéderàdescomptespossédantdes privilègesétendussurd'autresmachinesduréseau(parexemplel'accèsaucompted'un administrateur)afind'êtreàmêmedecontrôleruneplusgrandepartieduréseau.lesserveurs NISprésentssurunréseausontégalementdesciblesdechoixpourlespiratescarils regorgentd'informationssurleréseauetsesutilisateurs. Grâceauxétapesprécédentes,lepirateapudresserunecartographiecomplèteduréseau,des machiness'ytrouvant,deleursfaillesetpossèdeunaccèsrootsuraumoinsl'uned'entre elles. Unefoislacartographiedusystèmeétablie,lehackerestenmesuredemettreenapplication desexploitsrelatifsauxversionsdesapplicationsqu'ilarecensées.unpremieraccèsàune 11
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellementd'étendresesprivilègessurlamachine. Lorsqu'unpiratearéussiàinfiltrerunréseaud'entrepriseetàcompromettreunemachine,il peutarriverqu'ilsouhaitepouvoirrevenir.pourcefairecelui civainstalleruneapplication afindecréerartificiellementunefailledesécurité,onparlealorsdeportedérobée(enanglais backdoor,letermetrappeestparfoiségalementemployé). Lorsquel'intrusaobtenuunniveaudemaîtrisesuffisantsurleréseau,illuiresteàeffacerles tracesdesonpassageensupprimantlesfichiersqu'ilacréésetennettoyantlesfichiersde logsdesmachinesdanslesquellesils'estintroduit,c'est à direensupprimantleslignes d'activitéconcernantsesactions. Parailleurs,ilexistedeslogiciels,appelés«kitsracine»(enanglais«rootkits»)permettant deremplacerlesoutilsd'administrationdusystèmepardesversionsmodifiéesafinde masquerlaprésencedupiratesurlesystème.eneffet,sil'administrateurseconnecteen mêmetempsquelepirate,ilestsusceptiblederemarquerlesservicesquelepiratealancéou toutsimplementqu'uneautrepersonnequeluiestconnectéesimultanément.l'objectifd'un rootkitestdoncdetromperl'administrateurenluimasquantlaréalité. S'ils'agitd'unpirateexpérimenté,ladernièreétapeconsisteàeffacersestraces,afind'éviter toutsoupçondelapartdel'administrateurduréseaucompromisetdetellemanièreàpouvoir garderlepluslongtempspossiblelecontrôledesmachinescompromises.leschémasuivant récapitulelaméthodologiecomplète: Figure1 10:Etapesderéalisationd uneintrusioninformatique Latechniqued intrusionlaplusrépanduedanslemondenumériqueestcelleréaliséeàl aide ouparlesvirus.en1986déjà,l'arpanetfutinfectéàcausedebrain,unvirusqui renommait tous les disques de démarrage de système d exploitation en (C)Brain. Les créateursdecevirusydonnaientleurnom,adresseetnumérodetéléphonecarc'étaitune publicitépoureux. Lechampd'applicationdesvirusvadelasimpleballedeping pongquitraversel'écranau virusdestructeurdedonnées,cedernierétantlaformedeviruslaplusdangereuse.ainsi, étantdonnéqu'ilexisteunevastegammedevirusayantdesactionsaussidiversesquevariées, lesvirusnesontpasclassésselonleursdégâtsmaisselonleurmodedepropagationet d'infection.ainsiondistingueainsiplusieurstypesdevirus: lesverssontdesviruscapablesdesepropageràtraversunréseau 12
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS lestroyens(chevauxdetroie)sontdesviruspermettantdecréerunefailledansun système (généralement pour permettre à son concepteur de s'introduire dans le systèmeinfectéafind'enprendrelecontrôle) lesbombeslogiquessontdesviruscapablesdesedéclenchersuiteàunévénement particulier(datesystème,activationdistante,...) Il existe aussi des virus polymorphes qui, lors de leurs réplications, modifie leur représentationpourempêcherlesanti virusdelesidentifierparleursignature.bienqu'en apparencecesviruschangent,leurfonctionnement(leurméthoded'infectionetleurcharge utile)restelemême.lesalgorithmesnesontpasmodifiés,maisleurtraductionenlangage machinel'est. Commelemontrelegraphesuivant,NetskyandNyxemétaientlesdeuxviruslesplus répandusentremaietjuin2008. Figure1 11:Top5desvirusenJuin2008 Ilyaaussilesespiogiciels(enanglaisspyware)quisontdesprogrammeschargésderecueillir desinformationssurlesutilisateursdel'ordinateursurlequelilssontinstallés(onlesappelle doncparfoismouchards)afindelesenvoyeràlapersonnequilesdiffusepourluipermettre dedresserleprofildesinternautes.lesinformationsrecherchéessontsouventlesmots clés saisisdanslesmoteursderecherche,lesachatsréalisésviainternet,lesurldessitesvisités, lesinformationsdepaiementbancaire(numérodecartebleue/visa)etc. Aprèsavoirparlébrièvementdesattaquesinformatiquesengénéraletplusparticulièrement desintrusionsinformatiques,nousallonsàprésentvoirquellessontlessolutionsetmesures desécuritéqu ilestpossibleactuellementdemettreenœuvrepourgarantirunniveau satisfaisantdesécuritéauseindessystèmesd informationsdesentreprisesetorganismes. I.3Lessolutionsenmatièredesécuritéinformatique Lescontrôlesphysiquesn assurentqu uneprotectionlimitéedesdonnéesetdesressources; d autressystèmesetoutilscommeceuxdelafigure1 12sontprimordiauxpourlaréalisation delasécuritélogiquedesdonnéesetdesressources. Onretrouvedanscegraphelesantivirusetlespare feu(firewall)entêtedelistedu classementdesmesuresdesécuritélesplusutiliséesen2007selonlesauteursdurapport2007 duglobalsecuritysurvey[glo07].toutescesmesuresdesécuritéprésentéesdansce graphevisentàgarantirlesservicesdesécuritéquenousallonsexpliciterdanslasoussection suivante. 13
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Plusloindanslatroisièmepartiedecedocument,nousnousintéresseronsauxsystèmesde surveillance et de protection contre les intrusions afin de mieux comprendre leur fonctionnementetlesavantagesqu ilspeuventprocurerauxentreprisesdansunestratégieà longterme. Figure1 12:Statistiquesdessystèmesdesécuritédéployésen2007 I.3.1Lesservicesetmécanismesdesécuritéinformatique Lesservicesdesécuritésontlescritèresprincipauxquedoiventsatisfairelessolutionsde sécuritéafindegarantirdemanièreméthodiqueetorganiséelasécuritédessystèmesetdes réseaux.ils agitsurtoutdeladisponibilité,l intégrité,laconfidentialité,l authentification, l autorisation,lanon répudiation,latraçabilité,l auditabilitéetlecontrôled accès. Lecontrôled accèsestunprocessusconsistantàlimiterlesdroitsd accèsauxressourcesdu système.onpeutcitertroistypesdecontrôled accès: Les contrôles d accès administratifs qui sont fondés sur les politiques générales.lespolitiquesdesécuritédel informationdoiventénumérerles objectifsdel organisationenmatièredecontrôled accèsauxressources,la prisedeconsciencedesnotionsdesécurité,l embaucheetlagestiondu personnel. Les contrôles logiques qui sont constitués des mesures matérielles et logiciellespermettantdelimiterl accèsauréseau,commeleslistesdecontrôle d accès,lesprotocolesdecommunicationetlechiffrement. Lescontrôlesphysiquesquiserventàempêchertoutaccèsphysiquenon autoriséprèsdeséquipementsouprèsdessallesquicontiennentlematériel critiqueconstituantleréseau.undesrisquesàcesbasniveauxestl utilisation derenifleursetd analyseursdepaquets. 14
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lecontrôled accèsreposedoncsurlavérificationdel identité(authentification),puissur l accorddeprivilègesselonl identitéenquestion(autorisation)etenfinsurlefaitdenepas pouvoirnierourejeterqu unévénementaeulieu(nonrépudiation). Lecontrôled'accèsconsisteàvérifiersiuneentité(unepersonne,unordinateur, ) demandantd'accéderàuneressourceàlesdroitsnécessairespourlefaire.lecontrôlepeut êtreréaliséàl'aidedel'utilisationd'élémentspermettantl'authentificationdel'entité(par exempleunmotdepasse,unecarte,uneclé,unélémentbiométrique, ).Dessystèmeset protocoles comme Samba, Active Directory, LDAP et Radius permettent de gérer l authentificationsouventnécessaireauxcontrôlesd accèslogiques.lesmisesenœuvre concrètesdessolutionsdecontrôled accèssontlesanti virus,lespare feux,lessystèmesde détectionetdepréventiond intrusion. Encequiconcernelesmécanismesdesécurité,ils agitengénéraldesalgorithmesoudes techniquescryptographiquesquipermettentdefournirl ensembledesservicesdesécurité citésci dessus.iln existepasunsimplemécanismedesécuritéquifournissel ensembledes servicesdesécurité.cependant,unélémentparticulierestàlabasedelaplupartdes mécanismesdesécurité.ils agitduchiffrement. Lessystèmesdechiffrementfontappelàdesalgorithmesdechiffrementsouventcomplexes quimodifient,àl'aided'uneclédechiffrementplusoumoinslongue,lescaractèresàprotéger pourgénérerdesdonnéesapparemmentaléatoires.letextechiffré(cyphertext)peutalorsêtre transmissurunréseaunonsécurisé.eneffet,mêmes'ilestintercepté,ilnepourraêtre compréhensibleparuntiersquinepossèdepaslaclédedéchiffrementpermettantd'obtenirle texteinitialenclair(plaintext). Lapuissancedel'algorithme,latailledelacléutiliséeetlacapacitéàgarderlescléssecrètes defaçonsécuriséedéterminentlarobustessed'unsystèmedechiffrement.l'algorithmen'a pasbesoind'êtresecret.ilestmêmerecommandéqu'ilsoitpublicetpubliéafinquela communautéscientifiquepuissetestersarésistanceauxattaquesettrouverlesfaillesavant qu'unattaquantnelesexploite.garderunalgorithmesecretnerenforcepassasécurité. Unsystèmedechiffrementestditfiable,robuste,sûrousécurisé s'ilresteinviolable indépendammentdelapuissancedecalculoudutempsdontdisposeunattaquant.ilpeutêtre qualifiéd'opérationnellementsécurisésisasécuritédépendd'uneséried'opérationsréalisables enthéorie,maisirréalisablespratiquement(tempsdetraitementtroplongenappliquantles méthodesderésolutionconnuesetenutilisantlapuissancedecalculdisponible). Ilexistedeuxtypesdechiffrement: Chiffrementsymétrique Lesystèmedechiffrementestqualifiédesymétriquesi,pourchiffreroudéchiffreruntexte,il fautdétenirunemêmeclépoureffectuercesdeuxopérations.l'émetteuretlerécepteur doiventposséderetutiliserlamêmeclésecrètepourrendreconfidentiellesdesdonnéeset pourpouvoirlescomprendre. Chiffrementasymétrique Unsystèmedechiffrementasymétriqueestbasésurl'usaged'uncoupleuniquededeuxclés complémentaires,calculéesl'uneparrapportàl'autre.cettepairedecléestconstituéed'une clépubliqueetd'unecléprivée.seulelacléditepubliquepeutêtreconnuedetous,tandisque lacléprivéedoitêtreconfidentielleettraitéecommeunsecret.ondoitconnaîtrelaclé publiqued'undestinatairepourluienvoyerdesdonnéeschiffrées.illesdéchiffreraàleur réceptionavecunecléprivéequ'ilestleseulàconnaître.lemessageestconfidentielpourle destinatairedanslamesureoùluiseulpeutledéchiffrer. 15
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS I.3.2Classificationetprincipesdesmesuresdesécurité Lesmesuresdesécuritésedistinguent(figure1 13)etseclassifientselonleurniveau d'intervention. Elles contribuent toutes à protéger les ressources critiques de menaces particulières.plusieurstypesgénériquesdemesuresdesécuritésontidentifiés: Lesmesuresstructurelles,commel'occultationdesressources,lesredondances,la fragmentation de l'information, par exemple, qui réduisent la vulnérabilité des ressourcesenagissantsurlastructureetl'architecturedusystèmed'information. Les mesures de dissuasion qui autorisent une prévention en décourageant les agresseursdemettreàexécutionunemenacepotentielle.ilpeuts'agirdeprocédures juridiquesetadministrativestouchantàlasensibilisationetàlagestiondesressources humaines,auxconditionsdetravailouauxmoyensdedétectionetdetraçage. Lesmesurespréventivesquiserventdebarrièreafind'empêcherl'aboutissementd'une agression(incident,malveillance,erreur,etc.)etfontensortequ'unemenacen'atteigne passacible.lesprocéduresdecontrôlesd'accèsphysiqueetlogique,lesdétecteursde virus,entreautres,peuventjouercerôle. Les mesures de protection qui ont pour objectifs de réduire les détériorations consécutivesàlaréalisationd'unemenace.enparticulier,lescontrôlesdecohérence, lesdétecteursd'intrusion,d'incendie,d'humidité,d'erreursdetransmission,etles structurescoupe feupermettentdeseprotégerdesagressionsoud'enlimiterl'ampleur. Les mesures palliatives ou correctives, telles que les sauvegardes, les plans de continuité,lesredondances,lesréparationsoucorrectionsparexemple,quipallientou réparentlesdégâtsengendrés. Lesmesuresderécupérationquilimitentlespertesconsécutivesàunsinistreetréduisentle préjudicesubiparuntransfertdespertessurdestiers(assurance)ouparattributionde dommagesetintérêtsconsécutifsàdesactionsenjustice. Figure1 13:Elémentsconstitutifsetchampsd applicationdesmesuresdesécurité Ilexistedesscanneursdevulnérabilitépermettantauxadministrateursdesoumettreleur réseauàdestestsd'intrusionafindeconstatersicertainesapplicationspossèdentdesfaillesde sécurité.lesdeuxprincipauxscanneursdefaillessont: Nessus SAINT Ilestégalementconseilléauxadministrateursderéseauxdeconsulterrégulièrementlessites tenantàjourunebasededonnéesdesvulnérabilités: 16
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS SecurityFocus/Vulnerabilities Ainsi,certainsorganismes,enparticulierlesCERT(ComputerEmergencyResponseTeam), sontchargésdecapitaliserlesvulnérabilitésetdefédérerlesinformationsconcernantles problèmesdesécurité. CERTISTdédiéàlacommunautéIndustrie,ServicesetTertiairefrançaise, CERTISTdédiéàl'administrationfrançaise, CERTRenaterdédiéàlacommunautédesmembresduGIPRENATER(Réseau National de télécommunications pour la Technologie, l'enseignement et la Recherche). Auniveaudesmesuresdesécuritéaussidesévolutionsontétéobservées.Enprenantpar exemplelecasdespare feux,lestoutpremiersétaientdits«stateless»ousansétat.unpare feusansétatregardechaquepaquetindépendammentdesautresetlecompareàunelistede règlespréconfigurées. Ladeuxièmegénérationdepare feuestlepare feuàétatsou«statefull».certainsprotocoles dits«àétats»commetcpintroduisentlanotiondeconnexion.lespare feuàétatsvérifient laconformitédespaquetsàuneconnexionencours. Latroisièmegénérationdepare feuestlepare feuapplicatif.dernièrevéritablemouturede pare feu,ilsvérifientlacomplèteconformitédupaquetàunprotocoleattendu.parexemple, cetypedepare feupermetdevérifierqueseulduhttppasseparleporttcp80. Laquatrièmegénérationdepare feuestlepare feuidentifiant.unpare feuidentifiantréalise l identificationdesconnexionspassantàtraverslefiltreip.l'administrateurpeutainsidéfinir lesrèglesdefiltrageparutilisateuretnonplusparip,etsuivrel'activitéréseauparutilisateur. Lacinquièmegénérationdepare feuestlepare feupersonnel.lespare feuxpersonnels généralementinstalléssurunemachinedetravail,agissentcommeunpare feuàétats.il s agitenfaitdenouveauxantivirusquiintègrentdespare feux.aujourd hui,toutesces évolutionsdespare feuxontconduitàunesituationtellequ iln estplusaisédedifférencier leseffetsd unpare feuclassiqueetceuxd unantivirus. Aprèslespare feuxsontapparuslesconceptsderéseauxprivésvirtuels(vpn).ensuitecefut letourdessystèmesdedétectionetdepréventiond intrusions.cessystèmesquisontréputés êtreplusfiablesquelespare feuxserontanalysésetdécortiquésdanslatroisièmepartiedece documentcarilsviennentenréponsesauxattaquescibléesquisemanifestentsouventsousla formed intrusionsinformatiques. Etantdonnél'augmentationdesmenacescombinées,duspametdesattaquesdephishing,il n'ajamaisétéaussiimportantdecommuniqueràl'utilisateurquelssontlesmeilleursmoyens deseprotéger. Uneéthiquesécuritairedoitêtredéveloppéeauseindel'entreprisepourtouslesacteursdu systèmed'information.elledoitsetraduireparunechartereconnueparchacunetparun engagementpersonnelàlarespecter.lasignaturedelachartedesécuritédoits'accompagner desmoyensauxsignatairesafinqu'ilspuissentlarespecter. Deplus,ilestégalementnécessaired'éduquer,d'informeretdeformerauxtechnologiesde traitementdel'informationetdescommunicationsetnonuniquementàlasécuritéetaux mesuresdedissuasion.lasensibilisationauxproblématiquesdesécuriténedoitpasselimiter àlapromotiond'unecertaineculturedelasécuritéetdesonéthique.enamontdelaculture sécuritaire,ildoityavoiruneculturedel'informatiquecequicorrespondàlanotionde permis de conduire informatique que prône le Cigref (Club informatique des grandes entreprisesfrançaisesdontlesiteinternetestwww.cigref.fr). 17
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS L'auditestuneprocéduredecontrôledelagestiond'uneactivitéetdel'exécutiondeses objectifs.enmatièredesystèmesd'information,l'auditdesécuritéapourobjectifdemesurer l'écartentrelasituationexistante(surlesplansorganisationnels,procédurauxettechniques)et lapolitiquedesécuritédel'entreprise,lesbonnespratiquesetl'étatdel'art. Unauditdesécuritédoitconduire,audelàduconstat,d'unepartàmesurerlesrisques opérationnelspourledomaineétudié,etparextensionpourtouteoupartiedesactivitésde l'entreprise,etd'autrepartàproposerdesrecommandationsetunpland'actionsquantifiéeset hiérarchiséespourcorrigerlesvulnérabilitésetréduirel'expositionauxrisques. Lesauditsfontintervenir: Soituneéquipepluridisciplinaired expertsinterneàl entreprise; Soituneéquipepluridisciplinairecomposéedeconsultantsetd'ingénieurs(experts dansleursdomaines)externesàl entreprise. Lestestsd'intrusion(enanglais«penetrationstests»,abrégéenpentests)consistentà éprouverlesmoyensdeprotectiond'unsystèmed'informationenessayantdes'introduiredans lesystèmeensituationréelle. Ondistinguegénéralementdeuxméthodesdistinctes: Laméthodedite «boîtenoire» (en anglais «blackbox»)consistantàessayer d'infiltrerleréseausansaucuneconnaissancedusystème,afinderéaliseruntesten situationréelle; Laméthodedite«boîteblanche»(enanglais«whitebox»)consistantàtenterde s'introduiredanslesystèmeenayantconnaissancedel'ensembledusystème,afin d'éprouveraumaximumlasécuritéduréseau; Untestd'intrusion,lorsqu'ilmetenévidenceunefaille,estunbonmoyendesensibiliserles acteursd'unprojet.acontrario,ilnepermetpasdegarantirlasécuritédusystème,dansla mesureoùdesvulnérabilitéspeuventavoiréchappéauxtesteurs.lesauditsdesécurité permettentd'obtenirunbienmeilleurniveaudeconfiancedanslasécuritéd'unsystèmeétant donnéqu'ilsprennentencomptedesaspectsorganisationnelsethumainsetquelasécuritéest analyséedel'intérieur. Aprésent,nousallonspasseràl étatdeslieuxdelasécuritéinformatiquedanslemonde. I.4 Etat des lieux de la sécurité informatique dans le monde Pour mieux prendre conscience de la problématique de la sécurité informatique et de l Internet,leschercheurssebasentsouventsurdesétudes,recherchesdelaboratoire,enquêtes etconstatsdescentresspécialisésdanslacollectedesinformationsconcernantl informatique etsonévolution. LeComputerCrimeandSecuritySurvey(CCSS CSI)réalisechaqueannéeundessondages lespluspertinentsauxetats Unisausujetdesproblèmesmenaçantlasécuritéinformatique. Elle mène ses recherches auprès des organismes gouvernementaux, institutions civiles, multinationales,universités,hôpitauxetc.le12èmesondageannuelducsiencollaboration aveclefederalbureauofinvestigation(fbi)afournideschiffresetstatistiquesalarmantssur l étatdelasécuritéinformatiqueetdel Internetencequiconcernel année2007. 18
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LeGlobalSecuritySurvey,uneautreétudenonmoinsintéressanteémanedu«ItRisk ManagementAndSecurityServices»duGroupe«GlobalFinancialServicesIndustry (GFSI)».Cegroupeappartientaucabinetd auditetdeconseilbritannique«deloittetouche Tohmatsu(DTT)».Lesdomainesd activitédecettemultinationalesontl audit,lejuridique, lafinance,l expertisecomptable,lacertification,lafiscalité,laconsultationengestionetles conseilsfinanciers.ilpossèdeplusde150000collaborateursdanslemondeavecunchiffre d affaires élevantà23,1milliardsdedollarspourl exercice2006 2007.Cegroupeest présentàtravers69firmesdans142paysàtraverslemonde. LeClubdelaSécuritédel InformationFrançais(CLUSIF)aussiréalisechaqueannéeun rapportintitulé«lesmenacesetlespratiquesdesécurité».lerapport2008duclusifa concerné354entreprisesdeplusde200salariés,194collectivitéslocaleset1139individus issusdupaneld'internautesdel'institutspécialiséharrisinteractive. Figure1 14:Statistiquesdesréponsesparsecteurd activité TandisquelessondagesduCSIetduCLUSIFsefocalisentsurunepopulationtrèsdiversifiée maislimitéerespectivementauxetats Unis(figure1 14)etenFrance,lesondageduGFSI s intéresseplutôtauxinstitutionsfinancièrescommelesbanquesetlesfirmesd assurance danslemondeentier(figures1 15et1 16). Figure1 15:Statistiquesdesréponsesparsituationgéographique 19
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 16:Secteursd activitésdesentreprisesayantparticipéausondage Aprèsuneanalyseapprofondiedesrésultatsdecestroissondages,lepremierconstatquenous pouvonsfaireestquel ensembledesattaquesportéescontrelessystèmesetlesréseaux informatiques des entreprises et des organisations leur causent des pertes financières considérablesetd énormesdommagesencequiconcerneleurimageetleurréputation(lecas desdénisdeservice). Enanalysantlegraphiquedelafigure1 17tirédurapportduCSI,rienqu auxetats Unis,on estimelespertescauséesparlesfraudesfinancièresà$21124750et$8391800encequi concernelesvirusetlesspywares.toutcecirienqu en2007.lesfraudesfinancièresont doncprislapremièreplacequiétaitoccupéparlesvirus. Figure1 17:Statistiquesdespertesfinancières(endollarsUS)partypesd attaques LesauteursdurapportduCSIontestiméquelespertesfinancierscauséesparlesdiverstypes d incidentsdesécuritéontconnuunebaisseprogressivecescinqdernièresannéesycompris enl an2006maispaspourl année2007.eneffet,letotaledespertesen2007(mêmesile 20
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS nombredepersonnesayantréponduàcettequestionrelativeauxpertesadiminué:194)aété estiméà$66930950cequiestunehaussesignificativecaren2006cetotalétaitde $52494290pour313réponsesobtenues. Lameilleuremanièred appréciercespertesfinancièresestdelesvoirsousformedemoyenne despertesparpersonneinterrogée(organismeoureprésentantayantparticipéausondage)et c estjustementcequemontrelafigure1 18.Cetteannée,lamoyennedespertesparpersonne interrogéeestde$345005cequireprésenteunetrèsfortehausseparrapportaurésultatde l an2006quiétaitde$167713. Figure1 18:Moyennesdespertesfinancières(endollarsUS)parorganismessondés. Lesmesuresdesécuritéprisesengénéralparlesorganisationscontrelesattaquessontbasées sur des composants et logiciels comme les antivirus et les pare feux qui ne sont fondamentalement pas parfait en raison de l évolution quasi quotidienne des menaces informatiques.celaestdûengrandepartieaufaitquecestechnologiessebasentsurla détectionpardessignatures.cetteapprocheparrecherchedesignaturedesmenacesconnues n estpastoujourstrèspratiquecarlesconcepteursdelogicielsmalveillants(virusetautres) ontprogressivementaugmentélasophisticationdeleursoutilsàunpointtelqu illeurest possibled outrepasserlesanti virusquasimentàvolonté(selonlesauteursdelapremière étude).certesc estsouventpouruncourtmoment(letempsquelesconcepteursd antivirus réagissent)maiscescourtsmomentssontsouventsuffisantspourcesmalfaisantspourréaliser leursméfaits. L usagedel informatiqueetd Internetàlamaisonestmaintenantlargementbanalisé.Le comportementdesutilisateursdel informatiqueenentrepriseestdeplusenplussouvent influencéparlapratiqueprivée,etlesfrontièresentrelesdeuxmondesdeviennentplus floues.l enquêteduclusifmontrequ untiersdesinternautesutilisentl ordinateurfamilial aussiàdesfinsprofessionnelles(figure1 19),cequiposequelquesquestionssurlaprotection desdonnéesdel entreprise Etsilesinternautessontglobalementprudentsdèsqu ils agit d achatsurinternet,etsemblentconscientsdel utilitédesoutilsdeprotection(antivirus,pare feupersonnels,etc.),ilsnesesententquepouruneminoritéd entreeuxvéritablementen«insécurité»surinternet. 21
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 19:Typesd usagedel ordinateurfamilial Pendantqueleslogicielsmalveillantsdeviennentdeplusenplussophistiqués,lessystèmes d exploitationactuelsdeviennentdeplusenpluscomplexes,comportantainsiuneinfinitéde vulnérabilités.ilsuffitdeconsulterlesbulletinsd informationdescertpourconstaterqu on endécouvrequasimenttouslesjours. Danscecontexteoùlesvirus,leschevaux de Troieetlesautreslogicielsmalveillants deviennentdeplusenplussophistiqués,onassisteàlarecrudescenced untyped attaquesqui était encore il y a cinq ans seulement évoqués dans les débats théoriques sur la cybercriminalité.aujourd huiceladevientuneréalitésionencroitlafigure1 20: Figure1 20:Statistiquesdesorganisationsayantétévictimesd attaquesciblées Ils agitdesattaquesciblées.selonlesauteursdusondage2007ducsi,cen estqu encette année(2007:annéedurapportactuel,c'est à direlerapportleplusrécentducsicarceluide 2008sortiraendébut2009)quecettequestionaétéajoutéedanslesformulairesdusondage. 32%deceuxquiontréponduàcettequestionestimentavoireffectivementessuyéscetype d attaque(figure1 20).Lesattaquescibléessontplusdifficilesàdétecterquelesattaques génériquesetconventionnellesquesubitl ensembledelacommunautédesutilisateursdes ressourcesinformatiques.c estpourquoiellessontplusdangereusescarlessystèmesvisésla plupartdutempsnes enrendentmêmepascompte(ouelless enrendentcompteparfoisbien longtempsaprès).etantdonnéquelesattaquescibléesréussissentleplussouventàatteindre leursobjectifs,silescriminelsquilefontsontattirésparl appâtdugain,ilestfortpossible quedanslesprochainsrapportsducsietdugfsi,onendénombreraencorebeaucoupplus. Par ailleurs, la demande croissante de mobilité et d interopérabilité des fonctions informatiquesetdelasécuritéaprogressivementconduitàunegrandevariétédemoyensde communication.toutescesméthodesettechniquesapportentbiensûrellesaussileurslotsde risquesenmatièredesécuritéinformatique.lesauteursdurapportduglobalsecuritysurvey [GLO07]rapportentainsique77%despersonnesetorganismesinterrogésontindiquésqu ils avaientfaitl expériencedeplusieurscasrépétésdedécouvertesdebrèchesdesécuritédans leursréseauxousystèmesinformatiques. Iln estdéjàpasbonsignededécelerdesbrèchesdanssonsystèmedesécuritémaisquand uneouplusieursmêmesbrèchesréapparaissentplusieursfoisdesuite(découverte,fermeture ensuiteredécouverte),celadevientunsérieuxrisquepourl entrepriseoul organisationetily alieudevraiments inquiéteretd approfondirlesinvestigations. Lesbrèchesdesécuritécauséesparlesvirusetleschevaux de Troiesontsouventplus fréquentsqueceuxcauséesparlesemployéstantintentionnellementqu accidentellement.le tableaudelafigure1 22montreunaperçugénéraldesréponsesobtenuesencequiconcerne lesbrèchescauséespardesfacteursexternes.ilestparticulièrementinquiétantdeconstater 22
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS quepourl année2007,lesattaquespare mail(spamsetspyware)ontprislapremièreplace danslalisteavec52%despersonnesinterrogéesquiontrapportéslesavoirsubit. Encequiconcernelesbrèchescrééespardesfacteursinternesauxorganismes(tableau1 1), ilestheureuxdeconstaterquelesincidentsdugenrevirus,versoufraudesfinancièresont largementbaisséscestroisdernièresannées.de31%en2005,onestpasséà28%en2006 puisà18%en2007.toutefoislescasd accidents(13%)etdepertesdesdonnéesprivéesdes clients(8%)ontétésignaléspourlapremièrefoisdanslerapportdecetteannéeselonle tableau1 2. Tableau1 1:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs Tableau1 2:Statistiquesdesbrèchesdesécuritéprovenantdessourcesinternesauxorganisateurs SelonlesauteursdusondageduGFSI,parmilesdommagesoccasionnésparcesbrèches,58% sontdespertesfinancièresdirectes,30%despertesindirecteset12%despertessonttouchent négativementàlaréputationdesentreprises. LesauteursdusondageGFSIsoulignentaussilefaitqu àlaquestiondesavoirsileur organisation va au delà de l authentification par des mots de passe pour réaliser les transactionssurinternetavecleursclients,unpeuplusdelamoitié(51%)ontrépondupar l affirmativetandisque14%et7%ontréponduêtresurlepointdelefairerespectivement dansles12et24moisprochains. Quantàlaquestiondesavoirsiunévénementanormal(desévénementsautrequeceuxdu typeanalysecomplèteetrapideduréseaupardessniffers)aétéconstaté,46%despersonnes sondéesontréponduparl affirmativeselonlesauteursdurapport2007dusondageducsi. Cepourcentageestenbaisseparrapportau52%del année2006,au56%del année2005et surtoutaupicde70%del an2000. 23
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Danslemêmesens,ilaétédemandéauxpersonnessondéesd estimerlenombred incidents qu ilsauraientessuyésdurantles12derniersmois(2007).lafigure1 21indiquequele nombred incidentsdétectésasignificativementaugmentésurtoutencequiconcernela tranchedeceuxquiontestiméavoirsubitplusde10attaques(de9à26%). Figure1 21:Statistiquesdunombred incidentssubitces12derniersmoisparlesorganisations. Lafigure1 22montrelepourcentagedesattaquesprovenantdel intérieurmêmedes entreprisesetdesorganisationsauxetats Unis.Commeonpeutlevoir,27%despersonnes sondéesattribuentmoinsde20%deleurspertesfinancièresauxmenacesinternes.37%des personnesinterrogéesestimentlepourcentagedeleurspertesattribuéesauxmenacesinternes entre20et40%.etseulement5%delapopulationsondéeattribueplusde80%deleurs pertesauxmenacesinternes. Figure1 22:Pourcentagedespertesduesauxfacteursinternes(lepersonnel)del entreprise. Encequiconcernelesentreprises,l édition2008durapportduclusiffaitressortirun inquiétantsentimentdestagnation.entre2004et2006desprogrèsnotablesavaientétéfait, enparticulierdansledomainedelaformalisationdespolitiquesetdeschartesdesécurité. Maisdepuis,ilsemblebienquelamiseenapplicationconcrètedecespolitiquessoitrestéeun vœupieu.40%desentreprisesnedisposenttoujourspasdeplandecontinuitéd activitépour traiterlescrisesmajeures,contre42%en2006(figure1 23).Et30%d entreelledisentne pasêtreenconformitéaveclaloiinformatiqueetliberté 24
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 23:miseenplaced'unprocessusdegestiondelacontinuitéd'activitéduSI Selonlediagrammeissudelafigure1 24durapportduCLUSIF,59%desentreprisesdisent réaliseruneveillesystématiqueoupartiellesurlesnouvellesfaillesdesécuritéetsurles nouvellesattaques. Figure1 24:Réalisationd'uneveillepermanenteenvulnérabilité Lesgrandesentreprisesdéclarentplussouventréaliseruneveillesystématique,c'est à dire couvranttrèslargementlepérimètredeleursenvironnementstechniques. Cechiffreresteà peuprèsstableparrapportà2006.lesentreprisesn ontglobalementpasrenforcéleur vigilancevis à visdesmenaces. Selonlesauteursde[CSI07],touteslescatégoriesd attaquesonttendanceàdiminueren nombredepuisquelquesannées.pourtant,pourl année2007,unehausseaétéconstatéeence quiconcerneparexemplelesabusliésaupersonnelinternedesentreprises(insiderabuseof networkaccessoremail)commelesvisitesdessiteswebpornographiquesoul utilisationdes logicielspiratés.de42%en2006onestpasséà59%.enoutre,pourlevoldesordinateurs portablesetautresaccessoiresmobiles,ondéploreaussiunelégèrehaussede47%à50%. Encequiconcernelepourcentagedesentreprisesouorganismesayantsubitdesincidentssur leursiteweb,lafigure1 25parled ellemême.40%desorganismesinterrogésestimentavoir essuyéentre1et5incidentsdecetype. 25
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 25:Pourcentagedesentreprisesouorganisationsayantsubitdesattaquessurleursitesweb. SelonlesauteursdurapportduCSIde2007[CSI07],lepourcentagedesorganisationsqui ont rapporté des intrusions dans leurs réseaux ou systèmes informatiques continue d augmenteraprèsavoirconnuunelonguepériodedebaisse(duecertainementaumanquede confiancedanslescertautourdesannées2000).cetteannée,29%desorganisationsqui ontparticipéausondagedisentavoirinformélesinstitutionscommelescert.c estune légèrehausseparrapportà2006(25%).lafigure1 26montrejustementlepourcentagedes actionsetmesuresdesécuritéprisesengénéralsuiteàuneattaqueouàunincidentde sécurité. Figure1 26:Pourcentagedesmesuresouactionsprisessuiteàunincident. Degrosseslacunesdanslacompréhensiondessituationsàrisqueontétéconstatéesparles auteursdurapportduclusif.pourlesinternautesinterrogéssurlescomportementsetles situationsàrisque,l'absencedeprotectionsvis à visdesmenacesviralesarrivelogiquement enpremièreplace(figure1 27). 26
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure1 27:pratiquesetsituationsjugéesàrisqueparlesinternautes Nousdevonsnoterlebesoind éducationetdesensibilisationauxbonnespratiquesdes utilisateursquiconsidèrentmajoritairementquenepasmettreàjourleurssystèmeset navigateursn augmentepasfortementlesrisques,alorsqu enpratique,c estprimordial.un systèmed exploitationpasàjour,mêmedotéd unantivirus,seralaplupartdutemps vulnérableauxattaquesexternes. Pourconclureleurrapport,lesexpertsduCLUSIF[MEN08]ontaffirméque:«la menacenefaiblitpasetnotreenquêtemontredenouveauquelesmalveillancesetles incidentsdesécuritésontbienréels,avecuneprésencetoujoursactivedesattaquesvirales, desvolsdematériel,etunaccroissementdesproblèmesdedivulgationd informationetdes attaqueslogiquesciblées.etl actualitérécenten acessédedémontrerlesgravesimpactsdes déficiencesenmatièredesécurité(fraudebancaire,divulgationdedonnéespersonnelles, etc).sortirdespolitiquesdesécurité«alibi»,quel onrédigepoursedonnerbonne conscience,pourallerversdespratiquesconcrètes,réellementancréesdanslesprocessusde gestiondel information,voilàdoncl enjeupourlesannéesàvenir» Quantauxauteursdesdeuxautresrapports[GLO07],[CSI07],ilss accordentpourdireque mêmes ilestmaldeprojeterlatendancedesrésultatsd uneseuleannéeauxannées prochaines,ilyanéanmoinsunefortesuggestionexprimantquelesmenacesémergentes commencentàsematérialiserendespertesfinancièresenfortecroissance.ilss accordent aussiàdirequelesnouvellesmenacesprennentdel ampleur(lesattaquescibléespar exemple). Gartner[CSI07]aestiméquelerevenumondialdeslogicielsdesécuritéestmontéà$7,4 milliardsen2005,uneaugmentationde14,8%durevenude2004quis élevaità$6,4 milliards;$4milliardsdecemontantconstituaitlerevenugénéréparleslogicielsanti virus. End'autrestermes,l'identificationdesmodèlesdeviruscomptaitpour54,3%detoute l'industriedeslogicielsdesécurité.enoutre,leslogicielsanti virusnesontpaslesseulsoutils desécuritéquiutilisentlarecherchebaséesurlessignatures.laplupartdeslogicielset matérielsdepare feufonctionnentselonlemêmeprincipe,pourtantcestechniquesde rechercheparsignaturesdeviennentinsuffisantsnotammentcontrelesattaquesciblées.les 27
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS piratesaméliorentleurslogicielsetoutilsmalveillantsàunpointoùladétectionpardes signaturesn estplusaussiefficacequ àsesdébuts. L undesproblèmesmajeuresauquellemondedestechnologiesfaitfaceactuellementestque lessystèmesd exploitation,lesapplicationsetleslogicielsquisontdéveloppésaujourd hui utilisentdestechnologiesetdescomposantstellementcomplexes(souventsousleprétexte d unmeilleurdesign)qu ilsregorgentmalheureusementdemultiplesvulnérabilitésqueles CERT découvrent et publient quasiment chaque jour. Pendant ce temps, les criminels informatiquesconçoiventdeslogicielsetoutilsdeplusenplussophistiqués.ainsi,pendant que les pirates disposent d armes de plus en plus performantes, les grandes firmes informatiques(microsoftetautres)leuroffrentsurdesplateauxdesciblesparfaitesquesont lesutilisateursfinaux(organisations,entreprisesetparticuliers). Danslepassé,lalutteausujetdelasécuritéinformatiqueavaitlieuentrelesprofessionnelsde lasécuritédesentreprisesetlescriminelsquiattaquaientleursréseaux.aujourd huic est devenuencorepluscompliqué.lescriminelsattaquentàlafoislesréseauxdesentrepriseset lesdonnéespersonnellesdesclientsdecesentreprises.c'est à direqu ilsvolentcesdonnées auseindesentreprisesetlesemploientaprèspourattaquerlesdifférentsclients. Unautreconstatestquel ensembledesfirmesdehautestechnologiessembleseconcentrer sérieusementsurlarénovationdessystèmesdegestiond'identité(figure1 28). Figure1 28:Top5desinitiativesprisesenfaveurdelasécuritéinformatiqueen2007. C estunetendancequi,sielleréussit,pourraittrèsbiencourt circuitercetterecrudescencede cybercrimesquenousconstatonsdepuislesannées2000.eneffet,ilserabeaucoupplus difficiled'utiliserdesastucesinformatiquespourcommettredescrimesenlignesiles utilisateurssontobligésdes authentifiersanséquivoque,enemployantdesidentifiantsplus fiablesquedesadressese mail.lorsqu ilscommettrontdesinfractions,ilseraalorsfacilede retrouverleursnomsetadressesdanslemonderéel.c estpourquoilesentreprisesquiont participéausondagedugfsiontmisentêtedeleurlistedeprioritéslarénovationdeleur systèmedegestiond identitéscommelemontrelafigure1 28. Unegestiond'identitéplusrigoureuse(enparticulieravecdesprotectionsplusappropriéesde lavieprivée)pourraitêtreunebonnecarteàjouerpourlesentreprises(d autresentreprennent également les révisions de leurs applications pour les rendre moins vulnérables) qui désireraientselibérerdelamenaceoudel emprisedespirates. Arrivésàlafindecettepremièrepartie,nouscomprenonsclairementquelasituationdela sécuritéinformatiqueesttoutdemêmeinquiétante.commenousledisionsunpeuplushaut, pendantquelescybercriminelsdeviennentdeplusenplusnombreuxetquedesoutils permettantdemenerdesattaquesinformatiquesdeviennentdeplusenplusdisponiblesen libre téléchargement sur Internet, le nombre de failles ou de brèches des nouvelles applicationsetsystèmesd exploitationaugmenteégalementàgrandevitesse.l évolutiondes menaces informatiques suit donc l évolution de l informatique elle même et celle des 28
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS technologiesengénéral.leconstatestdoncquelesproblèmesdesécuritéinformatiquessont multiformesetmultidimensionnels(humains,juridiques,techniquesetc.)etfaceàcette complexité,ilexistedemultiplessolutionsparmilesquelsnousavonscitélechiffrement,les pare feux,lessystèmesdeprotectioncontrelesintrusionsetc. Leproblèmequiressortestdoncdesavoircommentmettreenœuvrecessolutionsdemanière àpouvoirrépondreefficacementetparconséquentdepouvoirréellementbienseprotégerde cesmenacesmultiplesetcomplexes. Danscecontexte,lasolutionqueproposentlesexpertsensécuritéestladéfinitionetlamise enapplicationd unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Lesresponsablesdesécuritéontdoncledevoirdefairetoutleurpossiblepourgarantirau mieuxlasécuritédansleursorganismesrespectifsenmettantenplacedesstratégiesde sécuritéadéquates.c'est à diredesstratégiesdesécuritéquiconviennentlemieuxaux prioritésdeleursorganismes.c estpourquoi,nousallonsdansladeuxièmepartiedenotre documentvoircequ estréellementunestratégiedesécurité. 29
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre2:Lesstratégiesdesécuritédessystèmes d information Lesprincipalespréoccupationsdesacteursdelasécuritésontrelativesàl appréhension globale de la maitrise des risques technologiques et informationnels via une approche intégrative et évolutive, tenant compte des facteurs d ordre humain, technologique, économiqueetpolitiquedesquestionsdesécurité. Entrebesoinsetsolutionsdesécurité,entrefacilitéd utilisationetefficacitédessolutionsde sécurité,entredélaisdedisponibilitédesolutionsefficacesetcoûtsdedéveloppementet d intégration,entreniveaudesécuritéetcoûtsdessolutions,l équilibreàtrouverpasseparun compromis.cedernier,résultatémanantduchoixconsistantàprivilégierunfacteurau détrimentd autres.unéquilibreestàobtenirentrelesbesoinsdesécuritéetlesdimensions financièresethumainesdelamiseenœuvreopérationnelledessolutionsdesécuritéviables. Leniveaudesécuritédesinfrastructuresrésultedoncd uncompromisentretroisprincipaux facteurs:lecoût,leniveaudesécuritéetletempsdelivraison.ilestillusoiredecroireque cestroisfacteurspourraientêtresatisfaisantssimultanément.deschoixdoiventêtreeffectués pourdéterminerlefacteuràfavoriseretàpartirduquel,lesdeuxautresdevrontêtreadaptés. Lasécuritéinformatiqued uneorganisationdoits appréhenderd unemanièreglobale.elle passeparladéfinitiond unestratégiedesécuritéquisetraduitparunepolitiquedesécurité. Cettedernièrecomporteralamotivationetlaformationdupersonnel,lamiseenplacede mesuresainsiqueparl optimisationdessolutions.l utilisationd outilsoudetechnologiesde sécuriténepeutpasrésoudrelesproblèmesdesécuritéd uneorganisation.enaucuncas,elle nesesubstitueàunegestioncohérentedel ensembledesproblèmesdesécurité. L abandondespolitiquesdesécurité«alibi»qu onrédigejustepoursedonnerbonne conscience,etl évolutionversdespratiquesconcrètesréellementélaboréesdanslesprocessus degestiondel information,voiladoncledéfitdesannéesfutures. II.1Définitionsetconceptsdesstratégiesdesécurité II.1.1Définitions L'objetdelasécuritépeutsedéfinircommeunecontributionàlapréservationdesforces,des moyensorganisationnels,humains,financiers,technologiquesetinformationnels,donts'est dotée une organisation pour la réalisation de ses objectifs. La finalité de la sécurité informatiqueauseind'uneorganisationestdegarantirqu'aucunpréjudicenepuissemettreen périllapérennitédel'entreprise.celaconsisteàdiminuerlaprobabilitédevoirdesmenaces seconcrétiser,àenlimiterlesatteintesoudysfonctionnementsinduits,etàautoriserleretour àunfonctionnementnormalàdescoûtsetdesdélaisacceptablesencasdesinistre. Unestratégiedesécuritéconsistedoncàconcevoiruneconduitegénéraledeprotection, d'organisationdeladéfense(démarcheproactive)etd'élaborationdeplansderéaction (démarcheréactive).elles'inscritdansuneapproched'intelligenceéconomiqueafinde permettreunevéritablemaîtrisedesrisquesopérationnels,technologiquesetinformationnels. 30
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 1:Objectifsdelasécurité Unrisqueestundangeréventuelplusoumoinsprévisible.Ilsemesureàlaprobabilitéqu'il seproduiseetauximpactsetdommagesconsécutifsàsaréalisation.unrisqueexprimela probabilitéqu'unevaleursoitperdueenfonctiond'unevulnérabilitéliéeàunemenace,àun danger. Lamaîtrisedesrisquesinformatiquesconsisteàlesréduireàunniveauacceptablepour l'organisationafind'éviterdemettreencausesaproductivitéetsapérennité. Lafrontièreentrelerisqueacceptableetceluiquinel'estpasestparfoisdifficileàdéterminer objectivementcar,elledépendfortementdesobjectifsdel'organisationetdudegrédecriticité desesressources. II.1.2Conceptsdesstratégiesdesécurité Lamiseenplaced unestratégiedesécuritéreposesurdesinvariantsqui,s ilssontadoptés parl ensembledel organisation,facilitentlamiseenplaceetlagestiondelasécurité.il s agitdesprincipesdebasesuivants: Principedevocabulairequiestuneabsoluenécessitédes accorder,auniveaude l organisation,surunlangagecommundedéfinitiondelasécurité; Principedecohérence,caruneaccumulationd outilssécuritairesn estpassuffisante pourréaliserunniveauglobaletcohérentdesécurité.lasécuritéd unsystème d information résulte de l intégration harmonieuse des outils, mécanismes et procéduresliésàlaprévention,àladétection,àlaprotectionetàlacorrectiondes sinistresrelatifsàdesfautes,àlamalveillanceouàdesélémentsnaturels; Principe de volonté directoriale qui résulte directement de la considération de l information comme ressource stratégique de l entreprise. Il est donc de la responsabilitédesesdirigeantsdelibérerlesmoyensnécessairesàlamiseenœuvreet àlagestiondelasécuritéinformatique; Principefinancier:lecoûtdelasécuritédoitêtreenrapportaveclesrisquesencourus. Lebudgetconsacréàlasécuritédoitêtrecohérentvis à visdesobjectifsdesécurité fixés; 31
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Principedesimplicitéetd universalité:lesmesuresdesécuritédoiventêtresimples, souples,compréhensiblespourtouslesutilisateursetdoivents appliqueràl ensemble dupersonnel; Principededynamicité:lasécuritédoitêtredynamiquepourintégrerladimension temporelledelaviedessystèmesetdel évolutiondesbesoinsetdesrisques; Principedecontinuum:L organisationdoitcontinueràfonctionnermêmeaprèsla survenued unsinistre.pourcela,ilfautdisposerdeprocéduresd urgenceetde reprise; Principed évaluation,decontrôleetd adaptation:ilestimpératifdepouvoirévaluer constammentl adéquationdesmesuresdesécuritéauregarddesbesoinseffectifsdela sécurité.celapermetdecontrôleretdevérifierquelesrisquessontmaitrisésde manièreoptimaledansunenvironnementdynamiqueetd adaptersinécessaireles solutionsdesécuritémisenœuvre.desoutilsdetype«tableaudebord»dela sécurité favorisent le suivi de la sécurité par une meilleure appréciation de la variabilitédescritèresdesécurité.l adéquationduniveaudesécuritéparrapportaux besoinsdesécuritédel entreprise,quisontparnatureévolutifs,estunsouciconstant duresponsablesécurité. Uneorganisationpeutainsirenonceràmettreenœuvreundispositifdesecours(backup)de soncentreinformatiqueauregarddesoncoûtrécurent.eneffet,cecoûtpeuts avérerêtre trèsélevéentermesderessourcesetdeprocéduresàutilisersil ontientcompte: Delaprobabilitédurisquededestructionphysiquetotaledesinfrastructures; Coûtdesmesures: 1. Desurveillanceetdedétection(incendie,inondation,intrusion,etc.); 2. Departitionnementdessallesmachinesignifugéesàdeuxheuresgaranties,sur lesquellessontrépartieslesapplicationscritiques. Decefait,lesrisquesrésiduels(attentats,chutesd avion,etc.)estleplussouventjugécomme acceptableparlesorganesdirigeantsdesinstitutions. II.1.2.1Pourquoilesstratégiesdesécurité? Lesrisquesetmenacespesantconstammentsurlessystèmesd information,unedéfaillance delasécuritédecesdernièresseraitcapabled entrainerdesconséquencesirréversiblessurla réalisationdesobjectifsstratégiquesdel organisationouvis à visdesescollaborateursou engagements. C estpourcetteraisonquelastratégiedesécuritédoitimpérativementprovenirdesplus hautessphèresdirigeantesdel organisme,entantqu instrumentdegestiondesrisques sécuritédusystèmed information.lastratégiedesécuritédessystèmesd informationtraduit fortementlareconnaissanceformelledel importanceaccordéeparladirectiondel organisme àlasécuritédesonousessystèmesd information. Faceàcesmenacessurlessystèmesd information,lesutilisateursexigentuneprotection adaptéedesinformationsetdesservicesde traitement,d archivage etdetransportde l information.lasécuritéestimmédiatementdevenuel unedesdimensionsessentiellesdela stratégiedel organismeetelledoitêtrepriseencomptedèslaconceptiond unsystème 32
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d informationafind assurerlaprotectiondesbiens,despersonnesetdupatrimoinede l organisme. Ainsi,lasécuritédessystèmesd informationviseenparticulieràprotégerlescomposantes suivantesdupatrimoine: Lepatrimoinematériel,composédebiensmatérielsnécessairesaufonctionnementde sesactivitésetdontladétériorationpourraitinterrompre,diminuer,oualtérerson activité;cepatrimoineestessentiellementcomposédestechnologiesdel information etdecommunication(serveurs,réseaux,postesdetravail,téléphonie),maisaussides procéduresetapplicationslogiciellestraduisantlesprocessusetlesfonctionsmétiers del organisme; Le patrimoine immatériel et intellectuel, composé de toutes les informations concourant au métier de l organisme (données scientifiques, techniques, administratives); Lesinformationsrelativesauxpersonnes(physiquesoumorales)avecquil organisme estenrelation,dontladestruction,l altération,l indisponibilitéouladivulgation pourraitentrainerdespertesouporteratteinteàsonimagedemarquevoireentrainer despoursuitesjudiciaires. II.1.2.2Conditionsdesuccèsd unedémarchesécuritaire Lesconditionsdesuccèsdelaréalisationd unestratégiesécuritairesont,entreautres: Unevolontédirectoriale,carilnepeutyavoirdesuccèsd unestratégiesansla volontédirectoriale; Unepolitiquedesécuritésimple,précise,compréhensibleetapplicable; Lapublicationetdiffusiondelapolitiquedesécurité; Unegestioncentraliséedelasécuritéetunecertaineautomatisationdesprocessusde sécurité; Unniveaudeconfiancedéterminédespersonnes,dessystèmes,desoutilsimpliqués; Dupersonnelsensibiliséetforméàlasécurité,possédantunehautevaleurmorale; Desprocéduresd enregistrement,desurveillanceetd auditassurantlatraçabilitédes événementspourservirdepreuveencasdenécessité; Lavolontéd éviterdemettrelessystèmesetlesdonnéesensituationdangereuse; L expression,lecontrôleetlerespectdesclausesdesécuritédanslesdifférents contrats; Unecertaineéthiquedesacteursetlerespectdescontrainteslégales. L efficacitédesmesuresdesécuritéd unsystèmed informationnereposepasuniquementsur lesoutilsdesécurité,nisurlebudgetinvesti,maissurlaqualitédelastratégiedéfinie,sur l organisationmiseenplacepourlaréaliser,l évaluer,lafaireévoluerenfonctiondes besoins.celanécessiteunestructuredegestionadéquatepourconcevoirlastratégie,définir unepolitiquedesécurité,gérer,spécifierdesprocéduresetdesmesurescohérentes,mettreen place,valideretcontrôler. Il est clair que la stratégie relève du domaine de la direction générale; il faut donc comprendrequelesprérogativesdelastructureorganisationnelles inscriventdansundegré dedélégationappropriée.cettestructuredéterminelecomportement,lesprivilègesetles responsabilitésdechacun.ellecontribueàfairecomprendreàl ensembledesacteursde l organisationl importancedelasécuritéetdurespectdesrèglesdesécurité.ellespécifie(en 33
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS fonctiondefacteurscritiquesdesuccèsquipermettentd atteindrelesobjectifsdel entreprise) lesmesuresetlesdirectivessécuritairesappropriées.cesdernièresdoiventêtrerelationnelles parrapportauxplansdel entrepriseetdel informatique.unevisionstratégiquedelasécurité globaledel organisationestdoncprimordiale. II.2Miseenplaced unedémarchesécuritaire Lastratégiedesécuritérésidedansuncompromisjudicieuxentrelecoûtdesoutilsetdes procéduresàsupporterpourpallierlesrisquesréelsquipourraientaffecterlepatrimoinede l'entrepriseetlecoûtdesimpactsdelaréalisationdesrisques. Iln'existepasdestratégieprédéterminéeougénérale,niderecettepourdéfinirunestratégie. Chaquecontexted'organisation,descénarioderisquesoud'environnementestparticulier.On nepeutdéfinirderèglesgénéralesquidéterminentquellessontlesstratégiesousolutionsde sécuritéàimplanterpourmaîtriserunrisquedonné. Figure2 2:étapesderéalisationd unedémarchesécuritaire Ladémarchesécuritairesesubdiviseentroisgrandsaxes: Lastratégieglobaled entreprise; Lastratégiedesécurité; Lapolitiquedesécurité. Lapremièreétapestratégiqueconsisteàidentifierlesvaleursdel'entreprise,leurniveaude vulnérabilitéenfonctiondemenacesparticulièresetlerisquedepertetotaleoupartiellede cesvaleurs.àl'issuedecetteanalysedesrisques,unevisiondecequidoitêtreprotégé, contrequietpourquoiestformuléesouslaformed'unepolitiquedesécurité.ils'agitalorsde définirunevéritablestratégiedeprotectionetdegestiondelasécuritéenfonctiondes besoins,valeursetmenacesréellesqu'encourel'organisation.delapertinencedel'analysedes 34
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS risquesdépendral'identificationcorrectedesmoyensetdesmesuresdesécuritéàmettreen œuvrepourprotégerefficacementlesressourcesdusystèmed'information. L'étapesuivanteconsisteàchoisirpuisàmettreenplacelesoutilsetlesprocédures nécessairesàlagestiondesrisquesetàlasécuritédessystèmes,servicesetdonnées. Enfin,ilestimpératifdecontrôlernonseulementl'adéquationdessolutionsdesécuritéetleur cohérencelesunesparrapportauxautres,maiségalementlapertinencedelapolitiquede sécuritéenfonctiondesrisquesetdesmoyensfinanciersetlacohérencedesoutilsvis à vis delapolitique.uneévaluationpériodique,voireconstantedesmesuresdesécuritéenvuede leuroptimisation,permetderépondreaumieuxàl'évolutiondel'environnementdanslequel elless'inscrivent. II.2.1 Méthodes et normes d élaboration de démarches sécuritaires II.2.1.1Principalesméthodesfrançaises Ladémarchesécuritairetraitedel organisationdelasécurité,del inventairedesrisques relatifs aux actifs informationnels, de la définition d une architecture de sécurité, de l établissementd unplandecontinuité. Pour débuter une démarche sécuritaire, on s appuie sur une méthode qui facilite l identificationdespointsprincipauxàsécuriser(notiondechecklist).dansunpremier temps,ilfautpouvoiridentifierlesrisquesafind identifierlesparadesàmettreenplaceet gérerlerisquerésiduel.jusqu àprésent,lasécuritéreposeplussurunensemblereconnude bonnespratiquesquesuruneméthodologieunique. Diversesméthodespropriétairescommedesnormesinternationalesexistentetpeuventservir deguideàl élaborationd unepolitiquedesécurité.ellessontutiliséesplusoumoins complètementetleplussouventadaptéesàuncontexted analyse. LesméthodespréconiséesparleClusif(ClubdelaSécuritédel InformationFrançais)sontle MARION(Méthoded AnalysedesRisquesInformatiquesetOptimisationparNiveau)et MEHARI(MéthodeHarmoniséed AnalysedesRisques). Figure2 3:lesméthodespréconiséesparleClusif 35
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Au delàdel aideàl analysedesvulnérabilitésetdesrisques,méharipermetd avoirune visionglobaleetstratégiquedelaproblématiquedelasécuritédesentreprises,parla définitiond unplanstratégiquedesécuritéàpartirduqueldesplansopérationnelspourront être définis. Les différents niveaux de la sécurité sont ainsi appréhendés. Les vues stratégiques,tactiquesetopérationnellesainsiquelesmesuresspécifiquesàleursréalisations sontdistinguées. Laméthoded analysedesrisquesméhariseveutadaptable,évolutiveetcompatibleavecla normeiso17799. Parailleurs,laDCSSI(DirectionCentraledelaSécuritédesSystèmesd Information)propose une méthode largement documentée, présentée et téléchargeable sur son site (http://www.ssi.gouv.fr).dénomméeebios(expressiondesbesoinsetidentificationdes objectifsdesécurité),cetteméthodeadoptéeparlesadministrationsfrançaises,permetde spécifierlesobjectifsdelasécuritédesorganisations,pourrépondreàdesbesoinsdéterminés. Ellefacilitélargementl appréhensionducontextedesécuritéetconstitueunevéritableaideà ladéfinitiondesobjectifsetdespolitiquesdesécurité.celapeutconduireàremplirle document«fiched ExpressionRationnelledesObjectifsdeSécurité(Feros)»pourcequi concernetouteslesressourcesclassées«défense»,afindedétermineraumieuxlesmesures desécuriténécessairesàleurprotection. Il existe également diverses directives nationales: allemandes issu du Bundesamt für Sicherheit Informationstechnik, canadiennes du CST (Centre de la Sécurité des Télécommunications),américainesissuesduNSI(NationalStandardsInstitue)desEtats Unis,parexemple,quitraitentdespolitiquesdesécurité. II.2.1.2NormesinternationalesISO/IEC17799 L'originedelanormeISO17799adoptéeparl'ISOàlafindel'année2000estlanormeBS 7799élaboréeparl'associationdenormalisationbritanniqueen1995.Avantd'êtrereconnue commeuneméthodederéférence,lanormeinternationaleiso17799atoutd'abordété contestéedufaitdesaprocédureaccéléréedenormalisation:ellen'avaitpasétéréviséepar lesétatsmembresavantd'êtrepubliéeetn'avaitdoncpastenucomptedessavoir faireet autresméthodesexistantsdansd'autrespays. L'adoptionparlemarchédelanormeISOaétéfavoriséeparlefaitquecertainescompagnies d'assurancedemandentl'applicationdecettenormeafindecouvrirlescyber risques. Baséesurlagestiondesrisques,lanormeproposeuncodedepratiquepourlagestiondela sécuritéetidentifiedesexigencesdesécuritésanstoutefoisspécifierlamanièredeles réaliser.onpeutainsiconsidérercettenormetouràtourcommeunréférentielcontribuantà ladéfinitiond'unepolitiquedesécurité,commeunelistedepointsderisquesàanalyser (CheckList),commeuneaideàl'auditdesécuritéenvueounond'uneprocédurede certification ou encore, comme un point de communication sur la sécurité. Diverses interprétationsetréalisationsdecettenormesontpossibles. Sonintérêtrésidedanslefaitquelanormeabordelesaspectsorganisationnels,humains, juridiquesettechnologiquesdelasécuritéenrapportauxdifférentesétapesdeconception, miseenœuvreetmaintiendelasécurité. 36
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 4:DomainesdesécuritédelanormeISO177992000. Elletraitededixdomainesdesécurité,de36objectifsdesécuritéetde127pointsdecontrôle. Unenouvelleversiondecettenorme(lSO/IEC17799:2005)aétééditéeenjuillet2005,elle adjointauxdixdomainesdesécuritépréalablementidentifiésdenouveauxparagraphesqui concernentl'évaluationetl'analysedesrisques,lagestiondesvaleursetdesbiensainsiquela gestiondesincidents.onremarquetoutel'importanceaccordéeàladimensionmanagérialede lasécuritédanslanouvelleversion. II.2.2Lastratégieglobaled entreprise En raison du caractère évolutif du contexte (évolution des besoins, des risques, des technologies,dessavoir fairedescyber délinquants),lessolutionsdesécuriténesontjamais niabsolues,nidéfinitives.celaposeleproblèmedelapérennitédessolutionsmisesenplace. Deplus,ladiversitéetlenombredesolutionspeuventcréerunproblèmedecohérence globaledel approchesécuritaire.enconséquence,latechnologienesuffitpas,elledoitêtre intégréedansunedémarchedegestion. Ainsi,latechnologiesécuritairedoitêtreauserviced unevisionpolitiquedelasécurité. Seuleladimensionmanagérialedelasécuritépermetdefairefaceaucaractèredynamiquedu risque.c estlaqualitédelagestionquipermetdetirerlemeilleurpartidesoutilsexistantet quiapporteuneréelleplus valueauservicedelasécurité.danscetteperspective,lasécurité dusystèmed informationn estqu unecomposantedelasécuritéglobaledel organisation.il estdoncextrêmementimportantquelesorientationsstratégiquesenmatièredesécuritésoient déterminéesauniveaudel état majordelastructureconcernée. 37
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 5:Delastratégied entrepriseàlastratégiesécuritaire Lastratégieglobaled entrepriseestélaboréeparlalignemanagérialeauplushautniveaude l organisation.sonobjectifestdedégagerlesobjectifsdesécuritédel organisationpourfaire ensortequetouteslesactionsentreprisesetmisesenplacedanstouteslescomposantesde l organisation(partenaires,sitesdistants,clients,télétravailleurs)concourentverslesmêmes objectifsetprotègentlesressourcesenfonctiondeleurcriticité). Unepolitiquedesécuritéoffreuneréponsegraduéeàunproblèmesécuritairespécifique,en fonctiondel analysedesrisquesquienestfaite.elledoitexprimerl équilibreentreles besoinsdeproductionetdeprotection. Lechoixdesmesuresdesécuritérésultegénéralementd uncompromisentrelecoûtdurisque etceluidesaréduction.ildérivedel analyseàlong,moyenetcourttermedesbesoinsde productionetdeprotection. Figure2 6:lasécurité,uncompromis Ladéfinitiond unestratégiedesécuritéestuneaffairedebonsens,devision,d analyseetde choix.ellepourraitserésumeràunesuitedequestionssimplesauxquelleslegestionnairedoit apporterdesréponsesprécises: Quellessontlesvaleursdel organisation? Quelestleurniveaudesensibilitéoudecriticité? 38
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Dequi,dequoidoit onseprotéger? Quelssontlesrisquesencourus? Cesrisquessont ilssupportables? Quelestleniveauactueldesécurité? Quelestleniveaudesécuritéquel ondésireatteindre? Commentpasserduniveauactuelauniveaudésiré? Quellessontlescontrainteseffectives? Quelssontlesmoyensdisponibles? Cesontlàtouslesdéfisquiguettentlesorganisationsquisedécidentàmettreenœuvreune démarchesécuritaire. II.2.3Lesstratégiesdesécuritédessystèmesd information Réduirelasécuritéàsadimensiontechnologiquec estassurersonéchec.parailleurs,se retrancherderrièresdesrèglesdesécuritéprédéterminées,desréglementationsoudesproduits «leaders»dumarchédansleurnichesécuritairesansvaliderleuradéquationauxbesoinsde l organisation,maisuniquementparsoucisdenepasengagersaresponsabilité,metenpérilla missiondesécurité. Lefosséestsouventassezétroitentrelastratégied entrepriseetlastratégiedesécuritéd une organisation;ellesconcourenttouteslesdeuxàlamiseenplacedelapolitiquedesécuritéet servirontplustarddedocumentderéférencepourévaluerl efficacitédelapolitiquemiseen place. Chaqueorganisationdoitspécifiersapropremissiondesécuritépourréalisersastratégiede sécuritétellequedéfinieavecladirectiongénérale.l activitédecettemissionpeutse déclinerselonlesaxessuivants: L identificationdesvaleursetclassificationdesressourcesdel organisation; Laconceptiond unplandesécuritéenfonctiond uneanalysepréalabledesrisques; Ladéfinitiond unpérimètredevulnérabilitéliéàl usagedesnouvellestechnologies; L identificationdesimpacts. Figure2 7:Maitrisedesrisquesetprocessusdesécurité 39
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Seuleuneapprochepragmatique,inscritedansunedémarchequalitéquidéfinitprécisément desobjectifsdesécuritécohérentsainsiquedesmoyensconcretspourlesatteindre,permetde sécuriserrationnellementdesressourcesinformatiquespartagées. II.2.3.1Identificationdesvaleursetclassificationdesressources LeClubdelaSécuritédel InformationFrançais(CLUSIF),danssonrapportd enquêtesurla sécuritédessystèmesd informationconfirmequ en2008encore,l informatiqueestperçue commestratégiqueparunetrèslargemajoritédesentreprises:toussecteursconfonduset quelquesoitleurtaille,73%d entreellesjugentlourdedeconséquencesuneindisponibilité demoinsde24hdeleursoutilsinformatiques(avecunmaximumde83%pourlesecteurdu commerce). 1% 73% 26% Forte Modérée Faible Figure2 8:Niveaud importancedel informatiquedanslesentreprissesfrançaisesen2008 Laréalisationd uninventairecompletetprécisdetouslesacteursetintervenantsdelachaine sécuritairecontribueàunemeilleureconnaissanceetdoncàlamaitrisedel environnementà protéger.c estdanslesphasesd analysedel existantetdesrisquesquecesdonnées d inventaireprennenttouteleurimportance.ellesinterviennentégalementdanslaphase d identificationdesvaleursetdeclassificationdesressourcespourdéterminerleurdegréde sensibilitéoudecriticité.ledegrédecriticitéd uneressourceindiquesonimportanceencas deperte,d altérationoudedivulgationdesdonnées.pluslesconséquencessontgravespour l organisation,pluslaressourceestsensibleetpossèdedelavaleur.laclassificationselonle degréd importancedesressourcesàprotéger,estnécessaireàlagestiondelasécurité.elle estdispensableàl élaborationfuturedelapolitiquedesécuritépourdéfinirdesmesureset procéduresàappliquer. Chaqueressourcepeutêtreperçuecommeunecibledesécuritépourlaquelle,ilfautidentifier lesrisquesetleursscénariipossibles(erreurd utilisationoudeparamétrage,accidents, malveillance, sabotage, attaque logique, etc.), les mécanismes de sécurité inhérents et applicatifs (configuration, paramètres, etc.), ainsi que les contraintes techniques et organisationnelles afin de déterminer la faisabilité technique et organisationnelle de la politiquedesécuritépourchaquecible. Ladéterminationdudegrédesensibilitédesdonnéesconsistetoutd abordàidentifierdes classesgénériquesdedonnéesauxquellesonassociedesvaleursentièresdéfinissantleur degrédesensibilité.celapermetdedisposerd unemétrique,dontl échelledesvaleursest déterminéeparl organisationetquireflèteledegréd importancedeladonnéepourcelle ci. Ainsi,parexemple,pouruneentrepriselesdonnéespeuventêtreclassées: Publiques:degrédesensibilité0;1; Financières:degrédesensibilité1; Privées:degrédesensibilité2; 40
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Secrètes:degrédesensibilité3; Cetteclassificationdoitêtreaffinéevoireadaptéeenfonctiondesbesoins.Deplus,c esten fonctiondudegrédesensibilitédesdonnéesetduprofildesutilisateursquel onattribueraà cesderniers,despermissionsetdroitsd accès. L identification des valeurs du système d information d une organisation répond essentiellement à la question: «Quelles informations sont critiques pour les besoins opérationnelsdel organisation?».cecipermettradedresseruninventairedetoutesles ressourcesouprocessusquientrentdanslefonctionnementnormaldel organisation. Cetteétapepeutserévélerassezcomplexedanslecadred unsystèmed informationpeuou pasmodélisé,nerépondantgénéralementàaucunstandard;avecdesprocessusmétiersnon élaborés.elleconstitueraaussiunesortededébutd auditpourlesystèmed information;et donneraunaperçuduniveaudecomplexitédesprocessus.ilestclairqu unsystème d informationquiadumalàrévélersesvaleursseratrèsdifficileàsécuriser;puisqueles brèchesdesécuritéserontnombreusesetsubtiles. Al issuedecetteétaped inventairedesressources,uneclassificationduniveaudecriticité desinformations,desprocessus,dessystèmesetdesréseauxconstitueral épreuvedela missiondesécurité. II.2.3.2Analysedesrisques Un risque provient du fait qu une organisation ou une entité possède des «valeurs» matériellesouimmatériellesquisontsusceptiblesdesubirdesdommagesouunedégradation. Cettedernièreayantdesconséquencespourl organisationconcernée:cecifaitgénéralement appelàquatrenotions: Celledela«valeur»,qu ilestd usaged appeler«actif»dansledomainedela sécuritédessystèmesd information; Cellededégradationoudedommagesubiparl actif; Celledeconséquencepourl entité; Cellequisuggèreunecausepossiblemaisnoncertaine; CONFIDENTIALITE DISPONIBILITE INTEGRITE Pertedeconfidentialitésansconséquence Délaisupérieuràunesemaine Lesinistrenerisquepasdeprovoquerunegênenotabledans lefonctionnementoulescapacitésdel'organisme. Ex:donnéespubliques,visiblespartous. Des services qui apportent un confort supplémentairemaispasindispensable. Lesinistrenerisquepasdeprovoquerunegêne notabledanslefonctionnementoulescapacitésde l'organisme. Ex:aucunevérification. Pertedeconfidentialitéentraînantdesgênes defonctionnement Délai>8heureset<=1semaine Perted'intégritéentraînantdesgênes defonctionnement Pertedeconfidentialitéentraînantdes conséquencesdommageables Délai>2heureset<=8heures Susceptibledeprovoquerunediminutiondescapacitésde l'organisme. Ressources pour lesquelles il existe une Ex:donnéesliéesauxcompétencesousavoir faireinternes, alternative. dansuncontextedegroupedeconfiance,dontvousprotégez Ex:imprimantes. touteslestracesécrites. Susceptibled'amoindrirlescapacitésdel'organisme,avec desconséquencestellesquedespertesfinancières,sanctions administrativesouréorganisation Ex:donnéesliéesàunengagementdeconfidentialitédans uncontrat. Pertedeconfidentialitéentraînantdes conséquencesgraves Sansconséquencevitalehumainement Ex:arrêtduréseau,delamessagerie,données vitalesnondisponibles... Délai:entretempsréelet<=2heures 41 Perted'intégritésansconséquence Susceptible de provoquer une diminution des capacitésdel'organisme. Ex:vérificationdesdonnées,sansvalidation:des fautesd'orthographesurunepagewebnuisentà l'imagedemarquedulaboratoire Perted'intégritéentraînantdes conséquencesdommageables Susceptible d'amoindrir les capacités de l'organisme,avecdesconséquencestellesquedes pertes financières, sanctions administratives ou réorganisation Ex:donnéesquisontvalidéesetcontrôléespar desmoyenstechniquesouhumains. Perted'intégritéentraînantdes conséquencesgraves
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Susceptibledeprovoquerunemodificationimportantedans les structures et la capacité de l'organisme comme la révocationdedirigeants,larestructurationdel'organisme, despertesfinancières. Ex:donnéessecretdéfense. Ressourcesquimettentenpérillavie(humaine ouanimaleoubiologique). Ex : expériences biologiques ou physiques pilotéesautomatiquement,systèmedesécurité. Susceptible de provoquer une modification importantedanslesstructuresetlacapacitéde l'organismecommelarévocationdedirigeants,la restructuration de l'organisme, des pertes financières. Ex:donnéesavecaumoinsdeuxniveauxde validationetdecontrôledifférents(techniquesou humains). Tableau2 1:Analysedesrisquesdessystèmesd information II.2.4Lespolitiquesdesécurité Préventiondesintrusionsetmalveillances, Gestiondesvulnérabilités,dissuasion,etc. Gestiondescrises,dessinistres,desplansdecontinuité,dereprise, Politiquederéaction demodification,d intervention,depoursuite,etc. Politiquedesuivi Audit,évaluation,optimisation,contrôle,surveillance,etc. Politiquedesensibilisation Politique d assurance Respectdescontrainteslégalesetréglementaires Politiquede protection Coût Mesuresetprocédures d accès Performance Politiquedesécurité Gestiondesidentités,desprofilsdesutilisateurs,despermissions, Politiquedecontrôle desdroits,etc. Convivialité Depuisledébutdesannées2000,lapriseencompteparlesorganisationsdesproblèmesliésà lasécuritéinformatiques estgénéraliséeaumoinsdanslesgrandesstructures.lasécuritéest demoinsenmoinsunejuxtapositiondetechnologieshétérogènesdesécurité.elleest dorénavantappréhendéeettraitée,commeunprocessuscontinu.cettevision«processus» met en avant la dimension managériale de la sécurité qui vise à l optimisation et la rationalisationdesinvestissements,toutenassurantlapérennitéetl efficacitédessolutionsde sécuritédansletemps. Tableau2 2:Lesdifférentescomposantesd unepolitiquedesécurité L importanced unegestionrigoureusedelasécuritédessystèmesd information,etdeson appréhensionglobaleetintégréedanslescyclesdedécisiondel entreprise,estreflétéepar l adoptionparlesorganisationsdelanotiondegouvernancedelasécurité.cettedernière traduitlavolontédediriger,deconduire,d influencerdemanièredéterminantelasécurité, voirededominerlesrisquesliésàl insécuritétechnologique.ellepossèdeégalementune connotation de pouvoir politique qui positionne le problème de la sécurité au niveau stratégique et opérationnel. L apparition de nouvelles fonctions, comme celles de responsabilitésécurité,intégréesounonàladirectiongénérale,àladirectiondessystèmes d information,ouencoreauseind unedirectionmétierouaudit,concrétisecettenotionliéeà lagouvernancedelasécurité. Comptetenudelanouvelleimportanceaccordéeàlasécuritéetàlamanièrestratégiqueet globaledel appréhender,unepolitiquedesécurité,devientl expressiondelastratégie sécuritairedesorganisations.elleconstituepourlesorganisations,unoutilindispensablenon 42
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS seulementàlagouvernancedelasécuritémaisaussiàlaréalisationduplanstratégiquede sécurité. Figure2 9:Stratégiesetpolitiquesdesécurité Une politique de sécurité exprime la volonté managériale de protéger les valeurs informationnellesetlesressourcestechnologiquesdel organisation.ellespécifielesmoyens (ressources,procédures,outils,etc.)quirépondentdefaçoncomplèteetcohérenteaux objectifsstratégiquesdesécurité. Elle découle des grands principes de sécurité qui permettent de protéger le système d informationenévitantqu ilnedevienneunecibleetenfaisantensortequ ilnese transformepaslui mêmeenacteursd attaquesparuneprisedecontrôleàdistance(les Botnets). Cetteprotectionestassuréeparexemplepar: Desrègles:classificationdel information; Desoutils:chiffrement,desfirewalls; Descontrats:clausesetobligations; L enregistrement,lapreuve,l authentification,l identification,lemarquageoule tatouage; Ledépôtdesmarques,debrevets,etlaprotectiondudroitd auteur. Encomplément,ellepourraprévoirde: Dissuaderpardesrèglesetdescontrôles; Réagirparl existencedeplansdesecours,decontinuitéetdereprise; Gérerdesincidentsmajeursparunplandegestiondecrise; Poursuivre en justice et de demander des réparations en prévoyant un plan d interventionetdereportdesincidentsetdesmesuresd assurance,parexemple; Gérerlesperformancesetlesattentesdesutilisateurs. II.3 Cas pratiques d une démarche sécuritaire au sein d unepme L objectifdececaspratiqueestdemontrerlesétapesàsuivrepourmenerdansdebonnes conditionsunedémarchesécuritaire.ils appuiesurlaméthodemehari2007duclusif, maisapportedesaméliorationsetdessimplificationspourunréajustementdecestandard françaisauxréalitésdenosentrepriseslocalesquiontsouventdessystèmesd informations 43
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS peuoupasdutoutmodélisés;avecdesprocessustrèsmalélaborésetsouventsansaucune charted utilisation. II.3.1PrésentationdelaPME II.3.1.1Présentationgénérale «BéninCosmetics»estunesociétéfictiveinventéepourservirdecadred expérimentationà notreétude.nousluiavonsfaithériterdetouteslescaractéristiquesdespmelocales.elleest spécialiséedanslafabricationetladistributiondeproduitscosmétiques;elleasonunitéde fabricationàparakou(environ400kmaunorddecotonou),etsonsiègesocialàcotonou. Soneffectiftotals élèveàenviron250personnes. «BéninCosmetics»conçoitdenouvellesgammesdeproduitsdebeautéetdeprocédés chimiquesdefabricationausiègesocialpourl usinedeparakou.sapuissanteéquipede rechercheconstituéedechimistes,d esthéticiens,dedermatologuesetdebiologistesluia permisdesefairetrèsrapidementunesolideréputationdanslasous régionenterme d innovationsdanslafabricationdeproduitsdebeauté.pourcela,elles appuiesurson systèmed informationsquiluipermetd êtrevifauxdemandesdesclientsetlesnouvelles possibilitésdepartenariat. II.3.1.2Patrimoineinformatique Figure2 10:Schémasynthétiquedusystèmed informationde«bénincosmetics» 44
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 1. Matériel Lepatrimoinedusystèmed informationestconstituéd équipementshétérogènes: Desserveurspourlestockage,letraitementetlepartagedel information; DesordinateursdebureauquisontdetypePC; LesréseauxLANdusiègesocialdeCotonouetl usinedeparakousontdetypegiga Ethernet; LesréseauxWANd interconnexionetd accèsàinternetsontgérésparl opérateur historiquedestélécommunicationsaubenin«bénintélécomssa»,fournisseurde servicesinternet; 2. Logiciels Lamoitiédessystèmesd exploitationaétélégalementacquiseetpossèdentdesnumérosde licencevalides; II.3.1.3Lasécurité Lesystèmed information «BéninCosmetics»possèdeunepolitiquedesécuritédusystèmed information;ellefait partieintégrantedelapolitiqueglobaledesécuritédel organisation.unecharted utilisation desressourcesinformatiquesetdesservicesinternetaétéélaboréeetdiffuséeàl ensembledu personnel.ellepréciselesdroitsetdevoirsdechaqueutilisateur.lachartepeutserésumer enplusieurspoints: Lecontrôled accèssefaitparauthentificationavecunnomd utilisateuretunmotde passe; Obligationdesuivrelaprocéduredesauvegardepourtouslesdocumentsnumériques del entreprise; Laresponsabilitédechaqueutilisateursurtouslesfichiersqu iltraite,lesfichierssont sauvegardéssurlesserveurs;lesdocumentspapiersconservésdansdesarmoires sécurisées; Chaqueutilisateurestdirectementresponsabledesressourcesinformatiquesmisesàsa dispositiondanslecadredesonactivité; Chaqueutilisateurdoitsignalertouteanomalieconstatéeoucomportementbizarredu systèmedanslespluscourtsdélaisaudépartementinformatique; SécuritégénéraledusiègesocialàCotonou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréalisésunefoisparanencollaborationaveclesservicesdesécurité del immeuble; Existencedeconsignedefermeturedesbureauxàclé,maisaucuneprocédurede contrôle; Conditionnementdelatempératuredetouteslespièces; 45
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Existence de technologies de surveillance (camera de surveillance, alarme anti intrusion,détecteurdemouvement)activéedurantlesheuresdefermetures(18h45 07h15);desagentsdesécuritéveillentsurleslieux; L entretiendeslocauxsefaittouslesmatinsde07h30à08hparunesociété prestataire; L accèsauxbureauxestconditionnéparunbadgemagnétiqued authentification; Lesclientssontreçusparlesagentscommerciaux,danslessallesderéuniondansune zone avec vidéosurveillance; il y a possibilité de connecter des équipements informatiques; Lesressourcesinformatiques(serveurs,routeurs,autocommutateurs)sontsituéesdans unesalleisoléedudépartementinformatique;ellepossèdeunealimentationélectrique desecours; Sécuritégénéraledel usineàparakou Pare feux, détection et extinction d incendie des locaux; des exercices annuels d évacuationsontréaliséstroisfoisparanencollaborationaveclesservicesde sécuritédel immeuble; Postedegardiennagequifiltrelesentréesetsortiessurlesitedel usine,unegestion techniquecentraliséepourl ensembledesalarmesdusiteavecdeuxpersonnesen permanence. Consignesdefermetureàclédesbureaux;maisaucuneprocéduredecontrôlen aété miseenplace; Touslesbureauxsontclimatisés;etcontigusaupostedegardiennage;àl entréede l usine;àl écartdeszonesdeproduction; Alarmeanti intrusionestactivedurantlesheuresdefermeturedesbureaux(19h 7h), defréquentesrondesdegardiensontlieudanslebâtiment; Leservicedenettoyageexterneàl'entrepriseintervientde7hà8h; Plusieurssociétésconstituentsonvoisinage;defréquentesrondesdepoliceontlieu danslazoned'activité; Lesclientssontreçus,souslaresponsabilitédelapersonnevisitéeaprèsavoirdéposé unepièced'identitécontrelaremised'unbadgevisiteuraupostedegardiennage,dans dessallesderéunionsspécifiques;avecpossibilitédeconnecterdeséquipements informatiques; Lesitepossèdelaredondancepourlesfournituresénergétiques(arrivéeélectriqueprovenant de2cabines"hautetension",groupeélectrogène,onduleurs,arrivéelignestéléphoniquessur 2centrauxtéléphoniquesdifférents,etc.). II.3.1.4Contexte L interconnexiondusiègedecotonouàl usinedeparakouapermisd avoirunsystème d informationunifiéauniveauconnectivité.cequiapermisunenetteaméliorationdesdélais deréalisationdestravauxetdefairedesgainsencoûtsdecommunicationoudeliaison. «BéninCosmetics»aréponduauvœudesesdifférentspartenairesquiestdecorrespondre directementaveclesdifférentsservicesviainternetpourlatransmissiondetoustypesde documents(dossierstechniques,devis,appelsd offres,messages,etc.). 46
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D autrepart,unimportantcontratdecollaborationavecunechainedecosmétiquebaséeen Franceestconditionnéparlacapacitéde«BéninCosmetics»àassurer: Laconfidentialitédansleséchangesdesdocumentstechniques(formuleschimiques, procédésdefabrication,etc.); Ladisponibilitéetlarapiditédefournirdesproduitsfinis; II.3.2ApplicationdeladémarcheMEHARI II.3.2.1PrésentationdelaméthodeMEHARI MEHARIsignifie«MEthodeHarmoniséed'AnalysedesRIsques».Ils agitd uneméthode élaboréeen1996parleclusif(clubdelasécuritédel InformationFrançais)pourdéfinir lesactionsentermesdesécuritédessystèmesd Informationsauseindesorganisations.Le CLUSIFfournitlesdifférentssupportsaidantàlamiseenplaced unedémarchesécuritaire selonlaméthodemehari. LadémarcheMéharicomportetroisgrandesphases: Planstratégiquedesécurité(PSS): Métriquedesrisquesetobjectifsdesécurité; Valeursdel entreprise:classificationdesressources; Politiquedesécurité; Chartedemanagement; PlanOpérationneldesécurité(POS): Auditdel existant; Evaluationdesbesoinsdesécurité; Expressiondesbesoinsdesécurité; Constructionduplanopérationneldesécurité; PlanOpérationneld Entreprise(POE): Choixd indicateursreprésentatifs; Elaborationd untableaudeborddelasécuritédel entreprise; Rééquilibrageetarbitrageentreunités. II.3.2.2Leplanstratégiquedesécurité Leplanstratégiquedesécurité(PSS)constituelapremièrephasedelaMéthodeHarmonisée d AnalysedesRisques(MEHARI).Elleestélaboréeenétroitecollaborationaveclaligne managérialedel entreprisedemanièreàcequetouteslesactionsentreprisesetmisesenplace dansl ensembledel entreprise(sitesdistantsetaccèsdistantsinclus)tendentverscesmêmes objectifsetprotègentlesressourcesenfonctiondeleurclassification. Ilseraunindicateur clédesunitésopérationnellespourcequiconcernelesdécisionsà prendre en matière de sécurité. Elle verra la participation de la direction générale de l entreprise, ainsi que celle des cadres supérieurs responsables de chaque département opérationnel. 47
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II.3.2.2.1Métriquedesrisquesetobjectifsdesécurité L objectifdelamétriquedesrisquesetobjectifsdesécuritéestdedégager,pardestableaux standards,communsàtoutel entreprise,lesélémentspermettant: D unepart,d affecterundegrédecriticitédechaquescénariodesinistre; D autrepart,defixerdefaçoncohérentelesobjectifsdesécuritéenfonctiondes niveauxpréétablisd acceptationouderefus,totalousouscondition,desrisques encourus. Statutsde protection Effetdesmesuresdeprotectionsurl'impactduscénario Effetdeprotectiontrèsfaible:lesinistreneseradétectéqu auboutd undélaiimportant.lesmesuresquipourrontalors êtreprisesnepourrontlimiterlapropagationdel incidentinitialetselimiterontàlabornerdansletemps.l étenduedes conséquencesdusinistreestdifficileàcerner. Effetdeprotectionmoyen:ledébutdesinistreneserapasidentifiétrèsviteetlesmesuresprisesleseronttardivement. Lesinistreauraprisunegrandeampleurmaisl étenduedesesconséquencesseraencoreidentifiable. 1 2 3 4 Effetimportant:lesinistreseradétectérapidementetdesmesuresdeprotectionserontprisessansdélai.Lesinistreaura néanmoinseuletempsdesepropager,maislesdégâtsserontcirconscritsetfacilementidentifiables. Effettrèsimportant:ledébutdesinistreseradétectéentempsréeletlesmesuresdéclenchéesimmédiatement.Lesinistre seralimitéauxdétériorationsdirectesprovoquéesparl accident,l erreuroulamalveillance. Tableau2 3:Mesuresdeprotection Statuts palliatifs 1 2 3 4 Effetdesmesurespalliativessurl'impactduscénario Effettrèsfaible:lessolutionsdesecourséventuellementnécessairesdoiventêtreimprovisées.Iln estpasassuréqueles activitésdel entreprisetouchéesparlesinistrepourrontêtrepoursuivies.l activitédel ensembledesacteurstouchésparle sinistreesttrèsfortementperturbée. Effetmoyen:lessolutionsdesecoursontétéprévuesglobalementetpourl essentiel,maisl organisationdedétailresteà faire.lesactivitésprincipalestouchéespourrontsepoursuivreaprèsuntempsd adaptationquipeutêtrelong.lareprisedes autresactivitésetleretouràl étatd originedemanderadeseffortsimportantsetoccasionnerauneforteperturbationdes équipes. Effetimportant:lessolutionsdesecoursontétéprévues,organiséesdansledétailetvalidées.Lesactivitésprincipales pourrontsepoursuivreaprèsuntempsdereconfigurationacceptableetconnu.lareprisedesautresactivitésetleretourà l étatd origineontégalementétéprévusetsedéroulerontavecdeseffortsimportantsmaissupportables. Effettrèsimportant:lefonctionnementdesactivitésdel entrepriseestassurésansdiscontinuiténotable.lareprisede l activitéenmodenormalestplanifiéeetseraassuréesansperturbationnotable. Tableau2 4:Mesurespalliatives Statuts récupération 1 2 3 4 Effetdesmesuresprisessurl'impactduscénario Effettrèsfaible:cequel onpeutespérerrécupérerdesassurancesoud unrecoursenjusticeestnégligeabledevant l ampleurdesdégâtssubis. Effetmoyen:cequel onpeutraisonnablementespérerrécupérern estpasnégligeable,maislessinistresmajeurs restentàlachargedel entreprise(sinistrenoncouvertetresponsablenonsolvable). Effetimportant:l entrepriseestcouvertepourlessinistresmajeurs,maiscequiresteàsacharge(franchise)demeure importantquoiquesupportable. Effettrèsimportant:l entrepriseestsuffisammentcouvertepourquel impactfinancier résiduelsoitnégligeable. Tableau2 5:Mesuresderécupération StatutsRI 1 2 3 4 Effetdesmesuresprisessurlaréductiond'impactduscénario Effettrèsfaible Effetmoyen:impactmaximumjamaissupérieuràunimpactgrave:I<ou=3 Effetimportant:impactmaximumjamaissupérieuràunimpactmoyennementgrave:I<ou=2 Effettrèsimportant:impactduscénariotoujoursnégligeablequelquesoitl'impactintrinsèque Tableau2 6:Mesuresderéductiond impactduscénario 48
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lagrillesuivante,proposéeenstandard,permetd'évaluerl'impact"I": Classificationdesressources Statuts RI 1 2 3 4 1 2 3 4 1 1 1 1 2 2 2 1 3 3 2 1 4 3 2 1 Tableau2 7:Grilled évaluationdel impactdescénario Statuts exposition Effetdesmesuresstructurellessurlapotentialitéduscénario 1 Expositiontrèsfaible:Desmesuresarchitecturalesontétéprisespourlimiterstructurellementlesrisques: cloisonnementdeslocaux,fragmentationdesinformations,rendantnégligeablelaprobabilitéd unrisque majeur. 2 Expositionfaible:L entreprise(leserviceoul unité)estparticulièrementpeuexposée:leclimatsocialest trèsfavorable,l environnementnelaissepascraindrelemoindreproblème,lapositiondesuiveurde l entrepriserendpeuprobableuneagressiviténotabledeconcurrents. 3 Expositionmoyenne:L entreprise(leserviceoul unité)n estpasparticulièrementexposée.leclimat socialn estpasmauvais,laconcurrenceestnormalementagressivesansplus,l environnementneprésente pasdemenaceparticulière. Expositionimportante:L entreprise(leserviceoul unité)estparticulièrementexposéeaurisqueenvisagé deparunclimatsocialesttrèsdéfavorableouunenvironnementàrisqueouunepositiontellequel onpeut craindredesréactionsspécialementagressivesdelaconcurrence. 4 Tableau2 8:Tableaumesuredeseffetsd expositionnaturelle Statuts dissuasion Effetdesmesuresdissuasivessurlapotentialitéduscénario 1 Effettrèsfaible:L auteurn encouraitaucunrisque:iln apratiquementaucunrisqued êtreidentifiéet detoutefaçoncelan auraitpourluiaucuneconséquence. 2 Effetmoyen:L auteurencouraitunrisquefaible:lerisqued êtreidentifiéestfaibleetlessanctions éventuelles,s ilétaitdécouvert,resteraientsupportables. 3 Effetimportant:L auteurdel erreuroudelamalveillanceencourraitunrisqueimportant:ilexisteune forteprobabilitéqu ilsoitdécouvertetlessanctionsencouruespourraientêtregraves. Effettrèsimportant:Seuluninconscientpourraitcouriruntelrisque:ilseradémasquéàcoupsûr,les sanctionsseronttrèslourdesettoutcelaestbienconnu. 4 Tableau2 9:Mesuredissuasives Statuts prévention Effetdesmesurespréventivessurlapotentialitéduscénario 1 Effettrèsfaible:Toutepersonnedel entrepriseoutoutinitiélaconnaissantunminimumestcapablede déclencheruntelscénario,avecdesmoyensqu ilestfaciled acquérir.descirconstancestoutàfait courantes(maladresse,erreur,conditionsmétéodéfavorablesraresmaisn ayantriend exceptionnel)sontà mêmededéclencheruntelscénario. 2 Effetmoyen:Lescénariopeutêtremisenœuvreparunprofessionnelsansautresmoyensqueceuxdont fontusagelespersonnelsdelaprofession.descirconstancesnaturellesraresmaisnonexceptionnelles peuventaboutiràcerésultat. 3 Effetimportant:Seulunspécialisteouunepersonnedotéedemoyensimportantsdécidéeàyconsacrerdu tempspeutaboutirdanslaréalisationd untelscénario.desconcoursdecirconstancespeuventrendrele scénarioplausible. 4 Effettrèsimportant:Seulsquelquesexpertssontcapables,avecdesmoyenstrèsimportants,demettreen œuvreuntelscénario.auniveaudesévénementsnaturels,seulesdescirconstancesexceptionnelles peuventconduireàdetelsrésultats(catastrophesnaturelles). Tableau2 10:Mesurespréventives 49
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leniveaudelapotentialité"P"estappréciéconformémentàlagrillestandardci après: Statutspotentialité 1 2 3 4 Potentialité Potentialitéfaible,nesurviendrasansdoutejamais Possible,bienquepotentialitéfaible Potentialitécertaine,devraitarriverunjour Trèsfortepotentialité,surviendrasûrementàcourtterme Tableau2 11:Grilleduniveaudepotentialité L élaborationdesdéfinitionsdesobjectifsdesécuritédoitfairel objetd uneréflexion approfondieauplushautsommetde«benincosmetics»puisqu ellematérialiseseschoix stratégiquesenmatièredesécuritédusystèmed informations. Danslamesureoùilseraittotalementutopiquedeprétendreau«zéro risque»pourun systèmed information,ladéfinitiondesobjectifsdesécuritépermetdefixerlesniveauxde risque que l entreprise jugera acceptables, inadmissibles quoique supportables, ou insupportablesparcequenedisposantpasdesmoyenspourfairefaceàsesconséquences. L accordétanttrouvésurces3termes,leurdéfinitionetleslimitesqu ilsrecouvrent; l objectifseraderamener,pardesmesuresdesécuritéappropriées,touslesrisquesauniveau «acceptable». MEHARIproposeunegrilled aversionaurisque,construitesurlabasedel appréciationdu risqueparrapportàsonimpactetàsapotentialité.cettegrilleestvalidéeparladirection généraleetlesdépartementsopérationnelslorsdelaréunion. Tableau2 12:Grilled évaluationduniveauderisque Ladirectiongénéralede«BéninCosmetics»,auvudesesobjectifsexige,quesoient assurées: LadisponibilitédesmoyensdecommunicationausiègedeCotonoucommeàl usine deparakou; Ladisponibilitédelamessagerie; Laproduction; Laconfidentialitéetl intégritédessecretsdefabrication,entrelesiège,l usineetle partenaireenfrance; Lamiseàjourdesprogrammesdeproduction. II.3.2.2.2Valeursdel entreprise:classificationdesressources Cettepartieapourobjectifdefaireuneclassificationdesressourcesdel'entreprise: 50
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure2 11:Classificationdesvaleursdel entreprise Etape1:Définirlesdomainesd activitésetprocessus La direction générale et les départements opérationnels nous ont permis de valider la cartographiedesdomainesfonctionnelsdansletableaudesprocessusmajeursdel entreprise ci après: DOMAINE Management PROCESSUS Prisededécisions DépartementR&D Recherche Développement DépartementR&D Département Production Département Logistique DRH DRH Marketing Finance Finance Finance Finance Service Commercial Service Commercial Service Commercial Service Commercial Département informatique Département informatique Département informatique Production Logistique Paie DESCRIPTION Ensemble des éléments contribuant à la prise de décisions (acquisition, cession,donnéesbudgétairesetprévisionnels,etc.). Travauxderechercheavancéeconduisantàdesnouveauxprojetsde produits. Elaborationdesprocessusdefabricationdenouveauxproduits,et élaborationdescaractéristiquesdesproduits. Production des produits cosmétiques, contrôle qualité, conditionnement. Gestiondestocks,Préparationdescommandes,Expéditionversle réseaudedistributionsfranchisées. Gestiondelapaieetdescomptespersonnelsassociés(intéressement). Gestiondesfrais(avancessurfrais,paiementdesnotesdefrais,etc.). Recherchedesélémentssignificatifsdumarchéetélaborationd'une stratégiedevente. Comptabilitégénéraleetgestiondesobligationslégalesafférentes Comptabilité (fisc,comptessociaux,etc.) Gestionducontentieuxentrelalogistiqueetlacomptabilité(clientset Contentieux fournisseurs). Consolidationdescomptes,soldesdegestionettableaudebord. Contrôledegestion Gestionetoptimisationdesfluxdetrésorerie.Gestiondesrelations Trésorerie aveclesorganismesfinanciersetlesdouanes. Elaborationdesoutilsdeventespécifiquesd'untypedeproduitoude Commercialisation service. Propositioncommerciale Elaborationdel'offrespécifiqued'unclient(pourlesoffressurdevis). Frais Marketing Gestiondescommandes Gestionetsuividescommandesclient,depuisl'offrejusqu'àla livraison(incluantounonlamaintenance). Gestionpermanentedesclients,deleursparticularités.Gestiondes ciblescommerciales. Architectureexploitation Architectureréseaux&systèmes,Administrationetexploitationdes centresinformatiques. informatique Suividesclients Projetsinformatiques Développements d'applications informatiques. Maintenance des applicationsexistantes. Supportsauxutilisateurs Assistanceauxutilisateurs,Formation,conseil 51
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Achats Juridique Achats Accordsetcontrats Support Servicegénéraux Gestiondescommandes(produitsetservices)etdesfournisseurs Gestiondesaccordsetcontrats.Enregistrementetconservationdes piècescontractuelles. Ensembledesprocessusdesservicesgénéraux,courrier,standard téléphonique,entretien,etc. Tableau2 13:Domained activitésetprocessusde«bénincosmetic» Etape2:Détecterlesprocessussensibles D aprèsladirectiongénéraleetlesresponsablesdesdépartementsopérationnelsde«bénin Cosmetics),lesprocessuscritiquessont: «Achat»dansledomaine«Achat»; «Production»dansledomaine«DépartementProduction»; «gestiondescommandes»dansledomaine«commercial»; Leprocessus«Achat»permetauresponsabledesachatsdemieuxchoisirlesfournisseursde matièrespremièresenprenantencomptelescoûts,laqualitéetlesdélaisdelivraison.ilen résulterapour«bénincosmetics»unemeilleurecompétitivitéetunchiffred affaireen conséquence. Etape3:Déterminerlescritèresd impact Danscetteétape,ils'agitdedemanderauxresponsables,quelseraitl'impactsurl'entrepriseen termesopérationnels,financiersoud'imageencasdedysfonctionnementd'undesprocessus vitaux. Nousdéfinissonslescritèresd'impactpourlesprocessusdechaquedomaineàpartirdu tableausuivant: IMPACT Domaines DépartementR&D DépartementR&D DépartementR&D DépartementR&D Commercial Commercial Commercial Commercial Commercial Commercial Commercial DépartementProduction DépartementProduction DépartementProduction DépartementProduction Finance Finance Finance Finance Juridique Juridique Juridique Descriptiondel impact Divulgationdeplansdenouveauxproduitsoudesavoir faire Pertedesavoir faire Nontenuedesdélaisdedéveloppement Augmentationdeschargesdedéveloppement Incapacitéàexploiterdesopportunitéscommerciales Pertedechiffred'affaire Baissed'efficacitécommerciale Augmentationdeschargescommerciales Pertedecompétitivité Pertedeconfiancedesclients Incapacitéàremplirdesobligationscontractuelles Nontenuedesdélaisdeproduction Augmentationdeschargesdeproduction Pertedeproductivité Détériorationdelaqualitédelaproduction Paiementdepénalitéscontractuelles Détournementdefonds Augmentationdeschargesadministratives Augmentationdurisquedefraude Miseenexamend'unmembreduDirectoire Poursuitejudiciairedelasociété Pertedeprotectionjuridiquedupatrimoine 52
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Personnel Divulgationderenseignementsconcernantlavieprivée Management Prisedemauvaisesdécisionsdemanagement Tableau2 14:Déterminationdescritèresd impact Etape4:Définirlesseuilsdecriticité Ilestnécessaire,danscetteétape,d'établirlesquatreseuilsdecriticitéassociésàchaque critèred'impactretenu: Seuil1:Sansdommagesignificatifsurlesopérationsde«BéninCosmetics»; Seul 2: Dommage important sur les opérations de «Bénin Cosmetics» sur la compétitivité; Seuil3:Gravedommagenecompromettantpasundomainede«BéninCosmetics»; Seuil4:Dommagesextrêmementgravesmettantendangerlasurviede«Bénin Cosmetics»; Nousdéfinissonslesseuilsdegravitéd'impactpourchaquecritèred'impactretenuàpartirdu tableausuivant: SEUILSD'IMPACTS Indiquerpourchaquecritèred'impact,lesseuilsdegravité,ensebasantsurlesdéfinitionssuivantes: Gravité1:Impactnonsignificatifauniveaude«BéninCosmetics». Gravité2:Impactsignificatif,résorbéfacilementetrapidement. Gravité3:Sinistregravedont«BéninCosmetics»mettraplusieursmoisàseremettre. Gravité4:Sinistreextrêmementgravemenaçantlasurviede«BéninCosmetics»oudontellemettraplusieursannéesàseremettre. SEUILS TYPE Gravité1 Gravité2 Gravité3 Gravité4 D IMPACT Divulgationdeplans denouveauxproduits oudesavoir faire Pertedesavoir faire Nontenuedesdélais dedéveloppement Augmentationdes chargesde développement Divulgationpartielle nepermettantpasà laconcurrencede rattrapersonretard. Destructiondela copied'unou plusieursfichiers d'unreprésentanten tournée. retardinférieuràun mois <5% Divulgationpartielle permettantàlaconcurrence denousrattraperplusde6 moisaprèslelancement. Indisponibilitédelabase d'informationstechniques pourlamaintenance, pendantunedurée inférieureà1semaine Divulgationpermettantàla concurrencedenousrattraper audébutdulancementd'un produitstratégique(entre0et 6mois). Destructiondel'ensemblede l'aideautomatiséeàla maintenance(reconstitution: plusieursmois)ou indisponibilité>1semaine retardcomprisentre1et3 mois 5%<Delta<20% retardcomprisentre3et12 mois >20% Retardsupérieurà1an Départd'uneéquipe hautementspécialisée, seulecapabled'assurerla maintenanced'unproduit majeurdel'entreprise. Tableau2 15:Lesseuilsdegravitéd'impactpourchaquecritèred'impactretenu Etape5:Recenserlesressources Unefoisleniveaudedécompositionchoisi(enfonctiondelagranularitéd'analysesouhaitée) etaprèsavoirconfirméleslimitesdudomaineétudiéetprécisélesintentionsenmatière d'investigationplusoumoinspoussée,nousrecensons,àl'aided'untableaudumodèleci après,lesressourcesquel'onveutclassifier. RESSOURCES Indiquerlesressourcesquel'onsouhaiteclassifier,leurtype,ainsiqueleurdomaineetéventuellementlesprocessusauxquelselles appartiennent. Danslescolonnesdomainesetprocessus,"tous"signifiequelaressourceestuniquepourtouslesdomaines,"chaque"signifiequel'on identifieuneressourcedifférentepourchaquedomaine. NOM SiègesocialCotonou UsineParakou SalleserveursCotonou SalleserveursParakou CentredeproductionParakou TYPE Siteetbâtiments Siteetbâtiments Locaux Locaux Locaux 53 DOMAINES Tous Tous Tous Tous Tous PROCESSUS
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LANCotonou Réseau Tous LANParakou Réseau Tous Réseaupublic«BéninTélécoms» Réseau Tous Serveurdestockage Système Tous Serveurs«métiers» Système Tous Serveurmessagerie Système Tous SAGESAARI Logiciel commercial GES_DRH Logiciel Personnel Personnelinformatique Ressourcehumaine Tableau2 16:Recensementdesressources Tous Tous Etape6:Classifierlesressources L objectifdecetteétapeestdefaireuneclassificationdesressourcesretenuesdansl étape5. La classification des ressources, qui consiste à analyser si une perte de disponibilité, d intégritéoudeconfidentialitéd uneressourcepeutconduireàundescritèresd impacts retenuset,dansl affirmative,àquelniveaumaximum.ceniveauestalorslaclassificationde laressourcepourl'aspectconsidéré(disponibilité,intégritéouconfidentialité). Pourchacunedecesressources,onseposelesquestionssuivantes: Quesepasserait ilsilaressourceétaitnondisponible?(disponibilité); Quesepasserait ilsilaressourceétaitnonfiable?(intégrité); Que se passerait il si la ressource était atteinte par des tiers non autorisés? (Confidentialité); Cetteétapepermetdoncdetrouverunevaleurproprepourchaqueressource: Impact Disponibilité Intégrité Confidentialité Pertedechiffred affaire 2 2 1 Pertedeconfiancedesclients 1 1 2 Baissed efficacitécommerciale 2 1 1 Synthèsedeclassification 2 2 2 Tableau2 17:Déterminationdelavaleurpropredechaqueressource Ressource:SAGESAARI Lorsd'uneréunionaveclaDirectionGénéraleetlesdirectionsopérationnelles,nousvalidons laclassificationdesressourcesdansletableaudesynthèsedelaclassificationdesressources ci après: RESSOURCES NOM Disponibilité Intégrité Confidentialité SiègesocialCotonou 1 1 2 UsineParakou 2 1 2 SalleserveursCotonou 2 2 1 SalleserveursParakou 2 2 1 CentredeproductionParakou 2 2 2 LANCotonou 4 4 4 LANParakou 4 4 4 Réseaupublic«BéninTélécoms» 4 4 4 Serveurdestockage 2 2 2 Serveurs«métiers» 2 2 2 Serveurmessagerie 4 4 4 SAGESAARI 2 2 2 GES_DRH 2 2 2 Personnelinformatique 2 2 2 Tableau2 18:Tableaudesynthèsedelaclassificationdesressources 54
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II.3.2.2.3Lapolitiquedesécurité La politique de sécurité du système d information ne peut s élaborer correctement et efficacementsiellenetientpascomptedelastratégieglobaledesécuritéde«bénin Cosmetics».Lapolitiquedesécuritésebasesurdesnormesnationalesetinternationalestout enrestantenconformitéavecleslégislationsenvigueurdanslepays. «BéninCosmetics»nedisposepasd unepolitiquedesécurité II.3.2.2.4Lachartedemanagement Aucoursd uneréunionaveclestaffmanagérialde«bénincosmetics»,ilnousprésentesa «CharteManagérialepourl usagedesressourcesinformatiquesetdesservicesinternetà l entreprisebénincosmetics» Cettechartedevraitpermettre: De renforcer la sécurité des systèmes d informations en informant et en responsabilisantlesutilisateurs; Depréciserlesprérogativesetlecadredetravaildechaquetyped acteurpouréviter desactionsdangereusesvoireillégales,pouvantengagerlaresponsabilitécivileou pénaledeleursauteurset/oudeladirectiongénéraleetledépartementinformatique; Devousmettreenconformitéaveclaloi. Cettechartedoitégalementinformerlesutilisateursdel existencededispositifsdecontrôleet d éventuellessanctions. II.3.2.3Planopérationneldesécurité Leplanopérationneldoitobligatoirementêtreprécédéd'unplanstratégiquedanslamesureoù la définition d'une métrique des risques et une classification des ressources sont indispensables,quellequesoitl'importancedel'entrepriseconsidérée,àl'évaluationdes risquesetàladéterminationobjectivedesbesoinsenservicesdesécurité.l'élaborationd'un planopérationneldesécuritérésultesoit: Deladécisiond'uneunitéindépendanteoud'unresponsabled'activité(casdespetites entreprises,professionslibérales,etc.).danscecas,onpeutconsidérerque,bienque faisantl'objetd'étapespréalablesspécifiques(impérativementladéfinitiondela métriquedesrisquesetlaclassificationdesressources),leplanstratégiquesera pratiquementintégrédansleplanopérationnel; deladécisiond'uneunitéautonome,quidevraseplierauxexigencesdéfiniesdansle planstratégiqueauxfinsdecoordinationetdecohérence; delamiseenœuvredelapolitiquedesécuritédécidéeauniveaucentraletdontle planopérationnelestundescomposants. Leplanopérationnelpeutêtreélaboré: soitàpartird'uneapprocheanalytiquebaséesurunauditdesservicesdesécuritéen place assuré principalement, parce que ce sont eux qui en ont la meilleure connaissance,pardestechniciens; 55
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS soitàpartird'uneévaluationdesfacteursderisque,c'estàdired'uneappréciationde leurincidencesurlagravitédurisque.unetelleapprocheglobale,faitd'abordappelà l'appréciationetauraisonnementdesutilisateursdessystèmesinformatiques. Figure2 12:Elaborationduplandesécurité II.3.2.3.1Préliminaires Etape1:Définitiondudomainecouvertoupérimètredel étude SurrecommandationdelaDirectionGénéralede«BéninCosmetics»,ledomainecouvert parl étudeest: Les2sitesdel entrepriseàcotonouetàparakou; LeslocauxtechniquesdusiègeàCotonouetàParakou; LecentredeproductionàParakou; LesréseauxlocauxdusiègeàCotonouetducentredeproductionàParakou; Réseaupublic«BéninTélécoms»; Lesserveurs; LesapplicationsSAGESAARIetGES_DRH; 56
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Etape2:réalisationdeladécompositioncellulaire Auseind uneorganisationcomme«bénincosmetics»quiestrepartieenplusieurssiteset plusieurssystèmesinformatiques,lesrésultatsd auditssontforcémentdifférentsselonles élémentsmisenjeu.laréalisationdenotreauditamisenlumièretoutescesdifférencesafin d avoirunevueréelledelavulnérabilitédessystèmesexistants.cettetâchenousaété facilitéeparladécompositioncellulaire. Lesservicesdesécuritésontrassemblésdanslestypesdecellulesauniveaudelabasede connaissances,cequifacilitel identificationduprofildesrépondants(untypedecellule rassemblantlesquestionsdestinéesàunprofilderépondant). Nousavonsretenupourl entreprise«bénincosmetics»ladécompositionsuivante: Entité:Entreprise«BéninCosmetics»; Sites:SiègeàCotonou,usineàParakou; Locaux:localtechniquesiège,localtechniqueusineParakou,centredeproduction, bureauxsiègescotonou,bureauxusineparakou; Architectureréseauxettélécom:LANsiègeCotonou,LANusineParakou,réseau étendu«bénintélécoms»; Exploitationréseauxettélécoms:exploitationdesréseauxtéléphoniques; Architecture des systèmes: serveur métier, serveur de stockage, serveur de messagerie; Applicationsopérationnelles:applicationSAGESAARI,GES_DRH; Ladécompositioncellulaireestuneétapedéterminantepourl étudedesrisques.ellesefait trèssouventàl aided outilscommerisicarequiautomatiseaussil étudedesrisques. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonouetusineàparakou C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou,localtechniqueàParakou,centrede productionàparakou,bureauxdusiègeàcotonou,bureauxusineàparakou; D. Domainedel architectureréseauettélécoms:landecotonou,landeparakou,réseauétendude «BéninTelecoms» E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage,serveurmétier, serveurdemessagerie G. Domainedelasécuritédelasécuritéapplicative:ApplicationSAGESAARI,application GES_DRH H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH Tableau2 19:Décompositioncellulairedel entreprise Etape3:Reprisedelaclassification Nousavonsreprislaclassificationdescellulesenfonctiondestroiscritèresd impact: disponibilité(d),intégrité(i),confidentialité(c).chaquecellules estvueaffectéed une valeurindiquantsondegrédecriticitéparrapportàuncritèredonné. A. Domainedel organisationdelasécurité:entreprise«bénincosmetics» B. Domaineliéausiteetàl établissement:siègeàcotonou(1,1,2)etusineàparakou(2,1,2) C. Domainedelaprotectiondeslocaux:localtechniqueàCotonou(4,4,4),localtechniqueàParakou (4,4,4),centredeproductionàParakou(2,2,1),bureauxdusiègeàCotonou,bureauxusineàParakou; D. Domainedel architectureréseauxettélécoms:landecotonou(4,4,4),landeparakou(4,4,4), réseauétendude«bénintelecoms»(4,4,4) 57
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS E. Domainedelasécuritédel exploitationdesréseaux:exploitationdesréseauxtéléphoniques(4,4,4) F. Domainedelasécuritédessystèmesetleurarchitecture:serveurdestockage(2,2,2),serveur métier2,2,2),serveurdemessagerie(4,4,4) G. Domainedelasécuritéapplicative:ApplicationSAGESAARI(2,2,2),applicationGES_DRH(2, 2,2) H. Domainedelasécuritédanslesdéveloppements:DéveloppementGES_DRH(2,2,2) Tableau2 20:Classificationdescellulesenfonctiondescritèresd impact II.3.2.3.2Auditdel existant L auditdel existantsedécomposeendeuxépreuves:laréalisationdel auditetlaproduction desrésultatsdel audit. Pourchaquecellule,ilfallaitrencontrerlaoulespersonnesconcernéesparcelles cietayant leprofilassociéautypedecelluleauquelappartientcettecellule. Pourunequestionde pertinence,nous avonsporténotrepréférencesurdesquestions dichotomiques.cequiimpliquequelerépondantdoitindiqueruneréponseouiounon pourchaquequestion(encasd hésitationouderéponsepartiellementaffirmative,onachoisi derépondrenonparprudence).nousavonsaussidonnélapossibilitédechoisirs.opour sansobjetaucasoùlesquestionsd auditneconcernentpasl étude. Laproductiondesrésultatsdel auditpasseparuneconsolidationdesréponsesenvue d obtenirunenotepourlesousserviceauquelellesappartiennent.cecalculfaitintervenir unemoyennepondéréenorméede0à4plus,éventuellement,unenotiondeseuilmaximumet minimum. LeseuilMaxestutilisépourlesquestionsindispensablesauseind'unsousservice,il correspondàlalimitemaximumdeniveaudequalitéquepeutatteindrelesousservice lorsqu'onarépondunonàcesquestions. Al'inverseleseuilMinestutilisépourlesquestionssuffisantesauseind'unsousservice,il correspondàlanoteminimaleatteintelorsqu'onaréponduouiàcesquestions. Naturellementsiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMax différents,onretiendraleseuilmaxleplusfaible. Al'inversesiplusieursquestionsauseind'unsousservicedéclenchentdesseuilsMin différents,onretiendraleseuilminleplusélevé. EncasdeconflitentreseuilsMAXetMIN(c'estàdireundéclenchementdeseuilMAXde valeurinférieureàcelled'undéclenchementdeseuilmin),c'estleseuilmaxquiprévaudra. Cesrésultatsd'auditpeuventêtreutiliséspourproduiredestableauxdevulnérabilitépour chacunedescellules. QUESTIONNAIRED AUDIT:DOMAINEDESLOCAUX Question Qualitédelafournitured énergie L'énergieélectriquefournierépond elleauxexigencesmaximalesspécifiéespar lesfournisseursd'équipementsavecunemargesuffisante? Ya t ilunsystèmederégulationélectriquecomportantaumoinsunonduleur pourleséquipementssensibles? Continuitédelafournituredel'énergie Existe t iluneinstallationélectriquedesecourscapabled'assurerlacontinuitédu servicedeséquipementscritiques(s'appuyantsurungroupeélectrogèneassociéà uneréservedecarburantsuffisanteousurdesarrivéesindépendantesd'énergie)? Teste t onrégulièrementlacapacitédusystèmedesecoursàassurerlacharge prévue(lesdélestageséventuelsayantétéeffectués)? 58 Rép. P Max Min Commentaire 2 4 4 4
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sécuritédelaclimatisation Y a t il un système de climatisation créant une ambiance (température, hygrométrie, poussières) conforme aux prescriptions des constructeurs des 4 matérielsinstallés? Vérifie t onrégulièrementlacapacitédusystèmedeclimatisationàassurersa 4 fonctiondanslespiresconditionsclimatiquesenvisageables? Protectioncontrelafoudre L'immeubleest ilprotégéparunparatonnerre? 4 Lescircuitsélectriquesetlecâblagesont ilsprotégéscontrelessurtensionset 4 contrelafoudrepardeséquipementsspéciaux? Contrôled'accèsauxlocauxsensibles Lesdroitsd'accèspermanentsousemi permanents(pouruneduréedéterminée) auxlocauxsensiblessont ilsdéfinisparrapportàdes"profils"typesprenanten comptelafonctionetlestatut(personneld'exploitationinformatiqueoutélécom, 4 personnels des services généraux ou de sécurité, pompiers, prestataires de maintenanceoud'entretien,fournisseursdeservices,stagiaires,visiteurs,etc.)? Les profils permettent ils également de définir des créneaux horaires et 4 calendairesdetravail(heuresdébutetfindejournée,week end,vacances,etc.)? Lesbadgesoucartesmatérialisantlesautorisationsd'accèsauxlocauxsensibles 4 sont ilspersonnalisésaveclenomdutitulaireetsaphoto? Utilise t onunsystèmedecontrôled'accèssystématiqueauxlocauxsensibles? 4 L'authentification fait elle appel à des moyens infalsifiables détenus par 4 l'utilisateur(carteàpuceoureconnaissancebiométrique,parexemple)? Lesystèmedecontrôled'accèsgarantit iluncontrôleexhaustifdetoutepersonne entrantdansleslocaux(sasnepermettantlepassagequed'unepersonneàla 4 fois,processusinterdisantl'utilisationdumêmebadgeparplusieurspersonnes, etc.)? Sécuritéincendie A t onfaituneanalysesystématiqueetapprofondiedetouslesrisquesd'incendie (court circuitauniveauducâblage,effetdelafoudre,personnelfumantdansles locaux, appareillages électriques courants, échauffement d'équipement, 4 propagation depuis l'extérieur, propagation par les gaines techniques ou la climatisation,etc.)? Existe t iluneinstallationdedétectionautomatiqued'incendiecomplètepourles 2 locauxsensibles(fauxplanchersetfauxplafondss'ilsexistent)? L'installationdedétectionest ellecomposéed'aumoinsdeuxtypesdedétecteurs 4 (parexemple:détecteursdefuméeioniquesetoptiques)? Lepostedesurveillancea t illapossibilitédefaireintervenirrapidementune équiped'interventionayantlesmoyensd'actionsuffisantspouragir(diagnostic 2 précis de la situation, extinction manuelle, déclenchement ou validation de l'extinctionautomatique,appeldessecours,etc.)? Tableau2 21:Extraitsduquestionnaired auditdeslocaux QUESTIONNAIRED AUDIT:DOMAINEDURESEAULOCAL Question Sécuritédel'architectureduréseaulocal A t on effectué un partitionnement du réseau local en séparant du réseau strictementinterneleszonesdecommunicationavecl'extérieur(dmz)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? Enparticuliertoutréseausansfil(Wlan)est ilconsidérécommeundomaine distinctstrictementisoléduresteduréseau(parfirewall,routeurfiltrant,etc.)? A t on effectué un partitionnement du réseau local en domaines de sécurité correspondantàdesexigencesdesécuritéhomogènesetàdesespacesdeconfiance àl'intérieurdesquelslescontrôlespeuventêtreadaptés? 59 Rép. P Max Min Commentaire 4 4 4 4
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Sûretédefonctionnementdesélémentsd'architectureduréseaulocal A t onanalyséchaquedomainedesécuritépourdéterminerlesexigencesde continuité de service et en a t on déduit, si nécessaire, une architecture de 4 redondanceauniveaudespointsd'interconnexion,deséquipementsetdumaillage duréseau? L'architecturedeséquipementsderéseaupermet elleuneadaptationfacileaux 4 évolutionsdecharge(clusters,grappes,etc.)? Organisationdelamaintenancedeséquipementsduréseaulocal Tous les équipements du réseau local sont ils couverts par un contrat de 2 maintenance? A t on identifié les équipements critiques pour l'exploitation et la tenue des performances annoncées et, pour ceux ci, les délais de remise en service 4 souhaitableetlesdélaismaximumtolérablesencasdedéfaillance? Procéduresetplansderepriseduréseaulocalsurincidents A t onétabliunelistedesincidentspouvantaffecterlebonfonctionnementdu réseaulocalet,pourchacund'eux,lasolutionàmettreenœuvreetlesopérationsà 2 menerparlepersonneld'exploitation? Lesmoyensdediagnosticd'unepartetdepilotageduréseaulocal(reconfiguration) d'autrepartcouvrent ilsdemanièresatisfaisantetouslescasdefiguresanalyséset 4 permettent ilsdemettreenœuvrelessolutionsdécidéesdanslesdélaisspécifiés? A t ondéfini,pourchaqueincidentréseau,undélaiderésolutionetuneprocédure 4 d'escaladeencasd'insuccèsouderetarddesmesuresprévues? Plandesauvegardedesconfigurationsduréseaulocal A t onétabliunplandesauvegarde,couvrantl'ensembledesconfigurationsdu 4 réseaulocal,définissantlesobjetsàsauvegarderetlafréquencedessauvegardes? Ceplandesauvegardeest iltraduitenautomatismesdeproduction? 4 Teste t on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur documentation et de leur paramétrage permettent 4 effectivementdereconstitueràtoutmomentl'environnementdeproduction? PlandeReprised'Activité(PRA)duréseaulocal Existe t il une solution de secours, parfaitement opérationnelle, pour pallier 4 l'indisponibilitédetoutéquipementoudetouteliaisoncritique? Cessolutionssont ellesdécritesendétaildansdesplansdereprised'activité incluantlesrèglesdedéclenchement,lesactionsàmener,lespriorités,lesacteursà 4 mobiliseretleurscoordonnées? Cesplanssont ilstestésdemanièreopérationnelleaumoinsunefoisparan? 4 Tableau2 22:Extraitsduquestionnaired auditduréseaulocal Cestableauxetgraphiquesnouspermettentdefaireunreportingsurlavulnérabilitédela société.bienquecenesoitpaslafinalitédelaméthodeméhari,celanousfacilitela comparaisondediversescellulesdumêmetypeetnouspermettraunsuividansletempsde cettevulnérabilité. II.3.2.3.3Evaluationdelagravitédesscénarii LabasedeconnaissancesMéharioffreunelistedescénariitypesainsiquelessixformules indiquantlessousservicesutiliséspourchaquetypedemesure(structurelle,dissuasive, Préventive,deProtection,Palliative,deRécupération). 06 Altérationdesdonnées 10 Accidentdetraitement I N 11 Accidentd exploitation Stru Diss Prév Min(01B05;01C01) Max(06D01;min(07A05;07D03)) Prot Pall Récup Min(08B04;07E03) Min(07D05;08D02) Min(01D02;01D05) 12 Altérationaccidentelledesdonnéespendantlamaintenance I N 60
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Stru Diss Min(01B05;01C01) Prot Pall Min(08B04;07E03) Min(07D05;08D02) Prév Max(07A05;09C01) Récup Min(01D02;01D05) 20 Erreurdesaisie 21 Enamontdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) 22 Lorsdelasaisie I E Stru Diss Prév Min(01B05;01C01) 08B03 Prot Pall Récup 08B04 Min(07D05;08D02) Min(01D02;01D05) Tableau2 23:Extraitsdel évaluationdelagravitédesscénarii(sourceclusif2007 Basedes connaissances) Pourillustration,lesscénarii6.22quiconcernel altérationdedonnéesayantpourcauseune erreurdesaisiededonnéesetpourorigine,nousavonsquantifiélesmesuresstructurellespar laformule:min(01b05;01c01),celasignifiequelessousservices01b05:«sensibiliseret formeràlasécurité»et01c01:"motiverlepersonnel"sontimpliquésdanslaquantification decesmesuresstructurelles. Ensepenchantsul ensembledessousservicesdelabasedesconnaissancesméhari2007 impliquésdanslaquantificationdessixtypesdemesurespourcescénario,leconstatquise dégageestqu ilsappartiennentautypedecelluleentité,productioninformatiqueetsécurité Applicative,nousdironsquecescénarios appuiesurcestroistypesdecellulespourse réaliser. Pourunscénariotypeetlescellulesassociées(parexemplelescénario622dutableau précédent se réalisant dans les cellules Entité et Production Informatique et Sécurité Applicative),oncalculepourchaquetypedemesure(Structurelle,Dissuasive,Préventive,de Protection,PalliativedeRécupération),l efficacitédecelle ci:eff Stru,Eff Diss,Eff Prev, Eff Prot,Eff Recup.Pourcela,onutiliselesformulesassociéesàchaquetypedemesuredu scénariotypeétudié. Réplicationduscénariodanslescellules Code Domainede l organisation Domainede lasécurité desserveurs 0622/1 Entreprise «Bénin Cosmetics» Entreprise «Bénin Cosmetics» Exploitati ondes ApplicationSAGE 1 2 2 serveurs SAARI Exploitati ondes ApplicationGES_DRH 1 2 2 serveurs Tableau2 24:Extraitdutableauducalculdesstatutsdétaillés 0622/2 Domainedelasécuritédes applications expo Diss Prev Prot Pall Recup P RI GMax 2 4 2 3 2 2 4 2 3 2 OndéduitlapotentialitéSTATUS Pàpartirdestroisstatutsdepotentialité(STATUS EXPO, STATUS DISS,STATUS PREV)enutilisantlagrillecorrespondantautypedescénario(P MALVEILLANCE,P ERREUR,P ACCIDENT). Lescénario06.22: Altérationdedonnéesparerreurlorsdelasaisie estdetypeerreur. 61
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II.3.2.3.4Expressiondesbesoinsdesécurité Les besoins de sécurité sont déduits de l'évaluation de la gravité des scénarii et de l'appréciation,aussiobjectivequepossibledesservicesdesécuritéayantuneinfluencesur cettegravité. Lesprincipauxsoucisdetouslesacteursdelasécuritéestnaturellementderéduireàleur strictminiumlesrisquesinsurmontables(enpriorité)puisinadmissibles,jusqu àcequele niveaudusinistrepotentielpassesouslabarreduseuilfixécommenedevantpasêtrefranchi. L expressiondesbesoinsdesécuritéseradonc,d'abord,l'expressiondesbesoinsdemesures spécifiquesrépondantauxrisquesmajeurs(insupportablespuisinadmissibles)découlantde l'étudedesscénariilesplusgraves. Mais,s ilestcrucialderéduirecesrisquesmajeurs,ilestégalementimpératifdeveilleràce quechaqueentitéappliquedesmesuresdesécuritégénéralequisoientconformesauxchoix définisparlapolitiquedel entrepriseetrépondentàsesrisquescourants.c estpourquoi l expressiondesbesoinssetraduira,outrelamiseenplacedesmesuresspécifiquesau domaineétudié,parunensembledemesuresrésultantd unecomparaisonentreleniveaude qualitédesmesuresenplaceetleniveauspécifiéparlapolitiquedesécuritédel entreprise. Mesuresgénéralespourlacelluleexploitationdesserveurs Note Code Sousservice 2.0 07A02 Sécuritédesimpressions 2.0 07D02 Organisationdelamaintenance 2.4 07E02 Traitementdesincidents 3.0 07A07 Contrôledelatélémaintenance 3.0 07A08 Administrationdesserveurs 3.2 07A01 Contratsdeservice Tableau2 25:Extraitdutableaudel expressiondesbesoinsdesécuritédelacelluleexploitationdesserveurs Mesuresgénéralespourlacellulesécuritéapplicative Note Code Sousservice 2.0 07A02 Reconfigurationlogicielle 2.0 07D02 Identificationdel origine(signature ) 2.0 07E02 Localisationd unévénementdansletemps(horodatage) 3.0 07A07 Notarisation(anti répudiation) Tableau2 26:Extraitdutableaudel expressiondesbesoinsdesécuritédelacellulesécuritéapplication GES_DRH Pour élaborer le plan d'action des mesures générales, nous prendrons en compte les contraintesorganisationnelles,techniquesmaisaussifinancières.pourl'ensembledesmesures généralesnouspourronstraiterlessousservicesutilisantdesaspectslégauxouréglementaires (preuveetcontrôle,traçabilité,auditabilité, ). Pourmenercetteétudeconcernant«BéninCosmetics»,nousavonstraitélessousservices suivants: 08F01Identificationdel'origine(signature,.); 08F06Localisationd'unévénementdansletemps(horodatage, ), 08F05Notarisation(anti répudiation) 62
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS II.3.2.4Planopérationneld entreprise LePlanOpérationneld Entreprise(POE)estlaconsolidationdesactionsdesécuritéengagées danschaqueunité.c estdanscettephasequel ondoitpositionnerdesindicateursdesécurité pour suivre l évolution du niveau de sécurité globale de l entreprise. Ces indicateurs permettrontdesurveillerlespointssensiblesounévralgiquesdel entrepriseetàladirection Généraledesuivrel évolutionduniveauglobaldesécuritéenfonctiondeobjectifsdéfinis. LePOEdonneralieuàl établissementd untableaudebordetpourraaussiêtrel occasion d unéquilibrageentrelesunitésdel entreprise. Sidenouveauxbesoinsapparaissent(enraisondelaviemêmedel entreprise)lapolitiqueet lesobjectifsdesécuritédoiventêtremodifiésetlesphases1à3réitérées. II.3.2.4.1Choixd indicateursreprésentatifs EnraisondesobjectifsdesécuritéquenousafixélaDirectionGénéraleauniveaude l élaborationduplanstratégiquedelasécurité,lechoixdesindicateursporterasurlesscénarii suivants: Pourassurerlaproduction: 01.12 Départdepersonnelstratégiqued exploitation Cescénarioconcernedirectementlesressourceshumaines 02.21 Incendiedansunecorbeilleàpapier Cescénarioconcernedirectementleslocaux Tableau2 27:Choixdesindicateursreprésentatifsdelaproduction Pourassurerlaconfidentialitéetlesecretdefabrication: 05.14 Bombelogiquedansunlogicielparunutilisateur Cescénarioconcernedirectementlestraitementsinformatiques 10.51 Pertedefichiersparvoldansunbureau Cescénarioconcernedirectementlesstructuressupport Tableau2 28:Choixdesindicateursreprésentatifsdelaconfidentialitéetlesecretdefabrication Pourassurerladisponibilitédesmoyensdecommunicationsavecl usinedeparakou: Accidentsoupannegraverendantindisponibleuneressourcematérielleinformatique(serveur, 01.23 réseau,lan,wan,etc.) Cescénarioconcernedirectementlestraitementsinformatiques Tableau2 29:Choixdesindicateurspourassurerladisponibilitédescommunicationsavecl usinedeparakou II.3.2.4.2Elaborationd untableaudeborddelasécuritédel entreprise Letableaudebordpourrapermettred apprécierparexemplelagravitédesscénariiretenusà l'étapeprécédente.l appréciationduniveaudecettegravitéseraréactualiséeàunefréquence déterminéeparl'entreprise Famille 02 03 08 09 Libellédelafamilledescénarii Destructiond équipements Performancesdégradées Divulgationdesdonnées Détournementdesfichiersdedonnées 63 Gravitéinitiale 3 3 3 3 Gravitéfinale 2 2 2 3
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS 12 Poursuitejudiciaire 3 3 Tableau2 30:Gravitéinitialeetgravitéfinaleparfamilledescénarii D'autretableaudebordavecdesindicateursspécifiquesavecletempsd'indisponibilitéet/ou retouràunesituationnormalepourraêtrefourniversladirectionsouslaformesuivante: ENTREPRISE«BENINCOSMETICS» Nombred incidentsliésaumotdepasse Nombredetentativesinfructueusesdeconnexionssur lesystème Nombredetentativesd intrusion Nombredeblocagedulogicielmétier Nombrederestaurationdedonnées Nombredevirusayantinfectélamessagerie,leS.I. 09/2008 Nombre Temps 8 4 5 5 6 10 10 27 3 15 10 50 10/2008 Nombre Temps 7 3 9 10 2 12 2 10 2 19 3 21 Tableau2 31:Tableaudeborddesindicateursspécifiquesavecletempsd indisponibilitéetretouràune situationnormale II.3.2.4.3Rééquilibragesetarbitragesentrelesunités Lesrééquilibragesetlesarbitragesbudgétairesentrelesunitésserontdéterminésenfonction desressources(humainesetfinancières)disponiblesquel'entreprise peutaccorder aux différentesunitéspourmettreenœuvrelesplansopérationnelsdesécurité. II.3.2.4.4Synthèse Lamiseenplaced unedémarchesécuritairebaséesurmehariestdenosjoursunedesplus fiablesdèslorsqu elleestmenéeavecunevolontédel instancemanagérialedel entreprise. Lasécuriténepeutseconcevoirsansunemaitriseréelledesrisquesencourusparl entreprise etsesvaleurs.labasedeconnaissanceetdesscénariiderisquesprédéfiniesfacilitent l identificationdesrisques.ladivisiondesprocessusencellulepermetuneévaluationdes risquesàuneéchelleinfinie. LadémarcheMEHARIestcertesassezharassanteetexigeunvéritableauditdusystème d informationconcerné,maiselleal avantaged êtrebiendocumentéeetrégulièrementmise àjourparleclusif. 64
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Chapitre3: Les systèmes de protection contre les intrusions Danslelangagecourant,uneintrusionestuneactionvisantàs introduiresansautorisation dansunlieudontonn estpaslepropriétaire.eninformatiqueaussilamêmedéfinitionest applicable;ellesignifielapénétrationdessystèmesd information,maisaussilestentatives desutilisateurslocauxd accéderàdeplushautprivilègesqueceuxquileursontattribués,ou tentativesdesadministrateursd abuserdeleursprivilèges.ellepeutaussirésulterd unver cherchantàassurersapropagation,ouencored uneattaqueautomatisée. Les deux premières parties de ce document ont traité des évolutions de la sécurité informatique,d unétatdeslieuxdelasécuritédessystèmesd informationdanslemondeet desstratégiesdesécuritédessystèmesd informationquisontd usagepoursemettreàl abri desmenacescourantes.cependant,lerapportmenaces/mesures,loind êtresatisfaisant demeuretoujoursunepréoccupationmajeurepourlesorganisationsetlesspécialistesdela sécuritédessystèmesd information. Eneffet,beaucoupdespécialistess accordentavecnataliedagornpourclamerqu «aucun système d information n est sûr à 100%! Parmi les préceptes connus sur la sécurité informatiquesetrouveceluiénonçantque,pouruneentrepriseconnectéeàl Internet,le problèmeaujourd huin estplusdesavoirsiellevasefaireattaquer,maisquandcelava arriver;unesolutionpossibleestalorsd essayerderepousserlesrisquesdansletempsparla miseenœuvredediversmoyensdestinésàaugmenterleniveaudesécurité»[dag]. Lesvulnérabilitésenmatièredesécurités'intensifientd annéeenannée.lecentrede coordinationcertindiqueque417vulnérabilitésontétésignaléesen1999.aucoursdes troispremierstrimestres2002,cechiffreestmontéjusqu'à3222. En2006cemêmechiffreétaitpasséà8064.Encetteannée2008,rienquepourlepremier semestrelenombrede4110vulnérabilitésadéjàétédépassé[crtv]. Àl'heureoùlescorrectifslogicielsnepeuventêtreappliquésaussivitequelatechnologie évolue,deuxquestionsdoiventêtreposées:combiencoûtelestempsd'indisponibilité,etquel estledegrédenuisanceprovoquéparlacompromissiondesdonnées? Parailleurs,unenouvelleinquiétudegrandit:lefaitquelesentreprisessoientpotentiellement responsablesdesdégâtsprovoquésparunpirateetdoiventprouveràlajusticequ'ellesont prislesmesuresnécessairespoursedéfendrecontrelesattaques. Auregarddecetableauinquiétantdelasécuritéinformatique,leséditeursetspécialistesdes solutionsdesécuritéontbienévidemmentréagitenconcevantdessystèmesoudispositifs capablesdeproscrirelesdangersquenepeuventempêcherlesantivirus,pare feuxetautres mesuresclassiquesdesécuritéjusque làenvogue. Dans cette troisième partie, nous allons aborder les systèmes de protection contre les intrusions.eneffet,nousmontreronsgrâceàuneenquêtequenousavonsréalisée,queces systèmesquiajoutentunniveausupplémentairedesécuritéauxsisontméconnusetnégligés auseindesentreprisesetorganisationsouestafricaines. 65
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.1Situationdelasécuritédessystèmesd information Situationdelasécuritédessystèmesd information danslasous régionouestafricaine régionouestafricaine Lebutdecedocumentétantdemontrerl importanceetlamiseenplace Lebutdecedocumentétantdemontrerl i mportanceetlamiseenplacedesstratégieset politiquesdesécurité,ilnousasembléopportundecompléterlesétudesetsondagesutilisés danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous danslapremièrepartieparuneenquêtebeaucoupplusciblée.elleconcernelasous région Ouestafricaine.Nousavonsporténotrechoixsur29organisationsduBénin,Nigeretdu avonsporténotrechoixsur29organisationsdubénin,nigeretdu Togo.L enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures.l enquêteaportéprincipalementsurdesquestionsmettantdecotélesmesures classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant classiquesdesécuritétellesquelespare feuxetlesréseauxprivésvirtuels.letableausuivant montrelesentreprisesconcernéesparl enquête concernéesparl enquête: Tableau3 1:LesentreprisesOuest :LesentreprisesOuest africainesconcernéesparl enquête africainesconcernéesparl enquête Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait:«Disposez Lapremièrequestiondecetteenquêteauprèsdecesentreprisesétait Disposez vousd une stratégiedesauvegardehors site(backupoff site(backupoff site)?» UnevéritablestratégiedesauvegardedoitressembleràcellemiseenplaceparAfriNIC (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduS (registreafricaind Internet)quiayantsonsiègeprincipalàJohannesburg(AfriqueduSud) disposed unsitederéplicationdesesdonnéesaucaire(egypte). C estleconceptdubackup disposed unsitederéplicationdesesdonnéesaucaire(egypte).c estleconceptdubackup off site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe site,carcesdeuxendroitssontgéographiquementassezéloignéspourqu unecatastrophe naturellemêmeimportantenepuissepriverafrinicdesesressour ces.lessauvegardessont naturellemêmeimportantenepuissepriverafrinicdesesressources.lessauvegardessont quotidiennementeffectuéesenligne. quotidiennementeffectuéesenligne. Figure3 1:Entreprisesdisposantd unestratégiedebackupoff :Entreprisesdisposantd unestratégiedebackupoff site site Acettequestion,commelemontrelafigure3 2,79%denotreéchantillonàrépondu Acettequestion,commelemontre échantillonàrépondu «NON»etseuls21%disentêtreentraindeplanifiercesmesures»etseuls21%disentêtreentraindeplanifiercesmesuresneserait neserait cequ àl échelle d unevilleoud unpays. Lasecondequestiondel enquêteseprésentaitcommesuit:«disposez vousd unedémarche Lasecondequestiondel enquêteseprésentaitcommesuit vousd unedémarche sécuritaireconduisantàunevéritablestratégiepuispolitiquedesécurité àunevéritablestratégiepuispolitiquedesécuritéfiable? fiable?». 66
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 2:Pourcentagedes Pourcentagedesréponsesausujetdeladémarchesécuritaire. réponsesausujetdeladémarchesécuritaire. Seuls24%desentreprisesontestiméêtresurlepointdelefaireoudecommencerlesétapes Seuls24%desentreprisesontestiméêtresurlepointdele faireoudecommencerlesétapes préliminairesàsamiseenœuvre.76%ont àsamiseenœuvre.76%ontrépondu«non». Latroisièmequestionétait:«:«Disposez vousd undispositifvouspermettantdevousrendre vousd undispositifvouspermettantdevousrendre compted uneintrusionn ayantpascausédedégâts,maisquiapuocc compted uneintrusionn ayantpascausédedégâts,maisquiapuoccasionnervolde données?». Figure3 3:Pourcentagedelacapacitédedétectiondesintrusions«:Pourcentagedelacapacitédedétectiondesintrusions«passives passives» Pourcontinueraveclesintrusions,nousavonsaussidemandésiellespeuventprévenirou arrêterentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde terentempsréeluneintrusionoccasionnantdesdommagestelsquedesdénisde services?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme?touslesrépondantsontreconnun êtrepaspréparésàcestypesd attaquescomme lemontrelafigure3 5. Figure3 4:Pourcentagedeprotectioncontrelesintrusions«:Pourcentagedeprotectioncontrelesintrusions«actives actives» Enfin,ladernièrequestionétait questionétait:«disposez vousd unplandereprised activitéaprèsun vousd unplandereprised activitéaprèsun sinistre(disasterrecoveryplan) sinistre(disasterrecoveryplan)?». 67
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Figure3 5:Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan :Pourcentagedesentreprisesdisposantd undisasterrecoveryplan Acettequestionaussilamajoritédesentreprisesc'est à dire93%ontréponduparlanégative. Acettequestionaussilamajoritédesentreprisesc'est dire93%ontréponduparlanégative. Seuls7%disentyavoirpensé. Seuls7%disentyavoirpensé. Leconstatquenouspouvonstirerdecetteétudeestquenosentreprisesnesontpasdutout Leconstatquenouspouvonstirerdecetteétudeestque nosentreprisesnesontpasdutout préparéesàfairefaceauxréelsrisquesauxquelselless exposentsurtoutencequiconcerne lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommes proposédeterminer lesintrusionsetlesattaquesciblées.c estpourquoi,nousnoussommesproposé cetteétudeparlaprésentationd untypeassezrécentdesystèmedeprotectionquenos entreprisesdevraientincluredansleursstratégiesetpolitiquesdesécuritéàsavoirles systèmesdeprotectioncontrelesintrusions. protectioncontrelesintrusions. III.2 Concepts des des systèmes de protection contre les intrusions III.2.1Définitionetprincipesdefonctionnement Définitionetprincipesdefonctionnement Onentendparsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«parsystèmesdeprotectioncontrelesintrusionsleslogicielsou«appliances» (c'est à diredesboîtesnoires)capablesdeprotégerlesréseaux diredesboîtesnoires)capablesdeprotégerlesréseauxetsystèmesinformatiques etsystèmesinformatiques contrelesintrusions.commenousl avonsmentionnéprécédemment,cessystèmessebasent surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. surtoutsurlesdifférentestechniquesdedétectiond intrusionsquiexistentaujourd hui. Ainsi,ilexistedessystèmesdedétectiond intru essystèmesdedétectiond intrusionsdits«passifs»quiontétédép ontétédéployésde plusenpluslargementetquisont talonnéesaujourd huipardessystèmesdits«actifs»de plusenpluslargementetquisonttalonnéesaujourd huipardessystèmesdits«prévention d intrusions. La recherche et les découvertes en détection et prévention d intrusions sont toujours d actualité, d actualité, notamment en raison des évolutions rapides et incessantesdestechnologiesdes technologiesdessystèmesd information. Ladétectiond'intrusionspeutsedéfinircommel'ensembledespratiquesetdesmécanismes utilisésquipermettentdedétecterlesactionsvisan utilisésquipermettentdedétecterlesactionsvisantàcompromettrelaconfidentialité, tàcompromettrelaconfidentialité, l intégritéouladisponibilitéd uneressource.lanotiond'intrusionestàconsidérerausens largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. largeetcomprendlesnotionsd'anomaliesetd'usageabusifdesressources. D uncôté,ilyalessystèmesdedétectiond dedétectiond intrusions(idspourintrusion (IDSpourIntrusionDetectionSystem) quisontdesmécanismesdestiné destinésàrepérerdesactivitésanormalesoususpectessurlacible àrepérerdesactivitésanormalesoususpectessurlacible analysée(unréseauouunhôte).il analysée(unréseauouunhôte).ilspermettentainsid avoiruneconnaissancesurles ainsid avoiruneconnaissancesurles tentativesréussiescommeéchouéesdesintrusions. chouéesdesintrusions. Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainprocèdeàl examen Dansleprocessusdedétectiond'intrusionmanuelle,unanalystehumainpr defichiersdelogs(journaux) (journaux)àlarecherchedetoutsignesuspectpouvantindiquerune àlarecherchedetoutsignesuspectpouvantindiquerune intrusion.unsystèmequieffectueunedétectiond' intrusionautomatiséeestappelésystèmede intrusion.unsystèmequieffectueunedétectiond'intrusionautomatiséeestappelésystèmede détectiond intrusion(ids).lorsqu uneintrusionestdécouverteparunids,lesactions typiquesqu ilpeutentreprendresontparexempled enregistrerl informationpertinentedans 68
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS unfichierouunebasededonnées,degénérerunealertepare mailouunmessagesurun pager ou un téléphone mobile. Déterminer quelle est réellement l'intrusion détectée et entreprendrecertainesactionspourymettrefinoul'empêcherdesereproduire,nefont généralementpaspartiedudomainedeladétectiond'intrusion.cependant,quelquesformes deréactionautomatiquepeuventêtreimplémentéesparl'interactiondel'idsetdesystèmes decontrôled'accèscommelespare feu.lediagrammesuivantillustrelefonctionnementd un IDS. Trafic/Application Détection Abus/Anomalie Alerte Détection Abus/Anomalie Logs Collecte d informations surl attaque/ l attaquant Analysehumaine Blocage port Figure3 6:Fonctionnementd unids D unautrecôté,ilyalessystèmesdepréventiond intrusions(ipspourintrusionprevention System)quisontdesmécanismesayantpourbutd anticiperetdestopperlesattaques.la préventiond intrusionestappliquéeparquelquesidsrécentsetdiffèredestechniquesde détectiond'intrusiondécritesprécédemment.aulieud'analyserleslogsdutrafic,c'est à dire découvrirlesattaquesaprèsqu'ellessesoientdéroulées,lapréventiond'intrusionessaiede prévenircesattaques.làoùlessystèmesdedétectiond'intrusionsecontententdedonner l'alerte,lessystèmesdepréventiond'intrusionbloquentletraficjugédangereux. Figure3 7:Architectured unsystèmedepréventiond intrusionsréseau(nips)oudedétectiond intrusions (NIDS). 69
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leprincipedefonctionnementd unipsestsymétriqueàceluid unids(idshôteetids réseau),ajoutantàcelal analysedescontextesdeconnexion,l automatisationd'analysedes logsetlacoupuredesconnexionssuspectes. ContrairementauxIDSclassiques,aucunesignaturen'estutiliséepourdétecterlesattaques. Avanttouteaction,unedécisionentempsréelestexécutée(c'est à direquel'activitéest comparéeàunensemblederègles).sil'actionestconformeàl'ensemblederègles,la permissiondel exécuterseraaccordéeetl'actionseraexécutée.sil'actionestillégale(c'est à direquesileprogrammedemandedesdonnéesouveutleschangeralorsquecetteactionne luiestpaspermise),unealarmeestdonnée.danslaplupartdescas,lesautresdétecteursdu réseau(ouuneconsolecentrale)enserontaussiinformésdanslebutd empêcherlesautres ordinateursd'ouvriroud'exécuterdesfichiersspécifiques. Plusieursstratégiesdepréventiond intrusionexistent: Host basedmemoryandprocessprotection:quisurveillel exécutiondesprocessuset lestuedèslorsqu ilsontl airdangereux(bufferoverflow).cettetechnologieest utiliséedansleskips(kernelintrusionpreventionsystem); Sessioninterception(ousessionsniping):quitermineunesessionTCPavecla commandetcpresest(«rst»).ceciestbeaucouputilisédanslesnips(network IntrusionPeventionSystem); Gatewayintrusiondetection:siunNIPSestplacéentantquerouteur,ilbloquele trafic ou envoie des messages aux autres routeurs du réseau pour modifier adéquatementleurslistesd accèspourbloquerlessourcesjugéesagressives. Lediagrammeci aprèsillustrelefonctionnementd unips: Application Action Décisionentempsréel Refuser Permettre Alerte Exécuteruneaction Figure3 8:Fonctionnementd unips III.2.2Avantagesdessystèmesdeprotectioncontrelesintrusions Enprofitantdesbugslogiciels,enexploitantlesfaiblessesdesprotocolesetenpiratantles motsdepasse,lespiratespeuventrechercheretexploiterdesportesouvertesdansleslignes dedéfensed unréseaud entreprise.orcesportespeuventêtreferméesparunsystèmede détectionoudepréventiond intrusions: détectionprécisedesattaques; arrêtdesattaques; simplificationdelagestiondelasécurité; documentationappropriée(journauxdétaillés); flexibilitérequisepourrespecterlesrèglesdesécurité; doublevérification(aprèscelledespare feuxmalconfigurés); 70
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS vérificationdelabonneapplicationdesrèglesdesécurité; interceptiondesattaquesquelespare feulaissentpasserdemanièrelégitime; interceptiondestentativesinfructueuses; interceptiondespiratagesvenantdel'intérieur; détectiondesattaquesanormaleslancéesdepuisunterminalinoccupé; détectiondefaillespouvantêtreexploitéespardesintrus; documentationfournieavant,pendantetaprèsuneattaque. Lessystèmesdeprotectioncontrelesintrusionspeuventêtredéployésauniveaudespoints d'accès,derrièrelespare feux,surdiverssegmentsetserveursouàdifférentsemplacements oùilsferontofficed'agentsdesécuritédupérimètre.ensurveillantletraficpourprotégerles systèmesdesattaquesinternesetexternessurleréseau,cessystèmesdétectentetarrêtentles piratesquitententdes'introduiredanslesréseaux.lesméthodesdedétectionincluent l'utilisationdesignaturesd'attaque,lavérificationd'anomaliesdeprotocolesetd'actions inhabituelles. Lespiratesexploitentconstammentdenouvellesfailles.Entrouvantd'autresméthodespour accéderàvotreréseauinterne,ilslancentdenouvellesattaquessophistiquéesquinesuivent pasunschémadéfini.tandisqueladétectionbaséesurlessignaturesestunsystèmerobuste, ladétectiondesanomaliesdeprotocolespeutêtreutiliséepouridentifierlesdiversesattaques quin'observentpaslesscénariihabituels. Ainsi,ungrandnombred'attaquesréseaupeuventêtredéjouéesgrâceauxsystèmesde détectionetdepréventiondesintrusions.cesontdesoutilsquidemandentuneconfiguration fineetuneanalyserégulièredesfichiersjournaux. LessystèmesIDSetIPSappliquentdesméthodessimilaireslorsqu'ilsessaientd'intercepter desintrusoudesattaquessurleréseau.ilsontgénéralementunebasededonnéesde signatures,quipeutêtrerégulièrementmiseàjouràmesurequedenouvellesmenacessont identifiées. Lesadministrateursdesécuritédéploientdesagentsoudescapteurs,logicielsoumatériels,en despointsclésdeleurréseau.généralementenpériphérieousurlespasserellesversd'autres réseauxendesendroitsoùletraficréseauconverge,etquiontétéidentifiéscommeétantdes pointsdedétectionetd'interceptionstratégiques.lesplacerderrièrelespare feuxesttoujours unbonchoix.lescapteursàdistanceenvoientalorsleursrapportsàunemachinecentralequi gèrelesrèglesdusystème.ilstockelesdonnéesdansunseulendroitafindefaciliter l'enregistrement,lesalertesetl'élaborationdecomptes rendus. LescapteursIDS/IPSdéployéssurleréseauexaminentlesfluxdedonnéesquitransitentà leurniveau,puisanalysentletraficetlecomparentauxsignaturescontenuesdansleursbases dedonnées.lorsqu'unecorrespondanceesttrouvée,lesystèmeactiveeteffectuelestâches définiesparl'administrateur:interromprelaconnexiontcp,alerterl'équipedesécuritéou stocker les informations dans un journal ou log en vue d'une analyse ultérieure. Naturellement,lesperformancesduréseaudoiventêtreévaluéesavantdedéployerun capteur. Ilestégalementpossiblededéployerdifférentstypesdesystèmespouroffrirauréseau plusieursniveauxdesécurité.parexemple,encombinantunesolutionmatérielle(appliance) pourcontrôlerlespointsd'entrée/sortieduréseauavecdeslogicielsbaséssurhôtepour surveillerlesmachinescritiques. 71
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.3 Typologies et familles des systèmes de protection contrelesintrusions III.3.1 Typologies des systèmes de protection contre les intrusions Lacaractérisationdesdifférentssystèmesdeprotectioncontrelesintrusionspermetdeles différenciersuivantuncertainnombredecaractéristiques.cettecaractérisationaconduitàla classificationterminologiqueprésentéedanslafiguresuivante. Figure3 9:Classificationterminologiquedessystèmesdeprotectioncontrelesintrusions Dansunpremiertemps,onpeutfaireunedistinctionassezfondamentalesurlaméthodede détectionutiliséeparlessystèmesdeprotectioncontrelesintrusions.ilexistedeuxgrandes catégoriesdeméthodesdedétection: cellesbaséessuruneapprochecomportementale(parexemplel'analysestatistique, l'analysebayésienne,lesréseauxneuronaux) etcellesbaséessuruneapprocheparscénarii(parexemplelarecherchedesignatures oulepatternmatching). Globalement,lesapprochescomportementalesvisentàreconnaîtreuncomportementanormal, quecesoitparrapportàunedéfinitionducomportementnormalouanormalfournieau système de détection d'intrusion (par exemple une spécification de protocole de communication)ouparrapportàunemodélisationdescomportementsnormauxouanormaux appriseàpartird'uneobservationpréalabledusystème(ensalleblanche,outoutsimplement en réel). Dans le cadre d'une approche comportementale, l'apprentissage semble donc possible,toutcommelapossibilitédedétecterdesattaquesinconnuesaumomentdela conception de l'ids, à condition qu'elles génèrent des anomalies perceptibles dans le fonctionnementnormal. Parcontre,dansuneapprocheparscénarii,lessystèmesdeprotectioncontrelesintrusions s'appuientsurunebasedeconnaissancepréexistantedécrivantlescomportementsnormaux ouanormauxetutilisecetteconnaissancepourlareconnaissancedesévènementsproduitspar des actions d'intrusions dans le système informatique qu'ils observent. Cette méthode 72
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS implique donc la constitution et la mise à jour régulière d'une base de connaissance référençantlesdifférentesattaquesconnuessusceptiblesd'êtremisesenœuvredansun systèmeinformatique.c'estàpartirdecesinformations,affinéesparl'administrateuren fonctiondusystèmesurveillé,quelessystèmesdeprotectioncontrelesintrusionsidentifient leséventuellesattaquesayantlieudanslessystèmesinformatiques. Danscetteapproche,lessystèmesdeprotectioncontrelesintrusionssefocalisentdoncsur l'identificationdesutilisationsabusives(misuse).uneautremiseenœuvreconformeàla terminologiemaisoriginaledanslapratiquedecetteapprochededétectionparscénarii consisteàconstituerunebasedeconnaissancedescomportementspermisdanslesystème(et nondescomportementsabusifs)pourconfigurerlesactionsdedétection(desutilisations normalesenquelquesorte). Dansunsecondtemps,onpeutaussicomparerlessystèmesdeprotectioncontrelesintrusions enfonctiondumodedefonctionnementdesmécanismesdedétectionqu'ilsmettentenœuvre. Demanièregénérale,unsystèmedeprotectioncontrelesintrusionspeuttenterd'identifierdes attaquesens'appuyantsurdesinformationsrelativesauxtransitionsayantlieudansle système(l'exécutiondecertainsprogrammes,decertainesséquencesd'instructions,l'arrivée decertainspaquetsréseau,etc.)oubienenétudiantl'étatdecertainespartiesdusystème(par exemple,l'intégritédesprogrammesstockés,lesprivilègesdesutilisateurs,lestransfertsde droits,etc.). III.3.2Famillesdessystèmesdeprotectioncontrelesintrusions Selonl'endroitqu'ilssurveillentetcequ'ilscontrôlent(les«sourcesd'information»),deux famillesprincipalesd IDSsontusuellementdistinguées: III.3.2.1LesIDSréseaux(NIDS):Unesolutionpluscourante Imaginonsqu'unerequêtemalintentionnéeaitpassélebarragedufirewall:ilfautdonc l'arrêter.laméthodelaplusclassiqueconsisteàfaireappelàunnetworkids unesolution dedétectiond'intrusionlargementéprouvée.sonrôleserad'immobiliserchaquerequête,de l'analyseretdeluilaissercontinuersoncheminseulementsiellenecorrespondpasau portrait robotd'uneattaqueréférencée.avantd'opterpouruntelsystème,ilfautconnaîtreles pointsclésdecettesolution. Lerôleessentield'unIDSréseau,appeléNIDS(Network basedintrusiondetectionsystem), estl'analyseetl'interprétationdespaquetscirculantsurceréseau.afinderepérerlespaquets àcontenumalicieuxcommeparexempledesexpressionscontenant«/etc/passwd»,des signaturessontcréées.desdétecteurs(souventdesimpleshôtes)sontutiliséspouranalyserle traficetsinécessaireenvoyerunealerte.unidsréseautravaillesurlestramesréseauàtous lesniveaux(couchesréseau,transport,application).deplusenplus,endisséquantlespaquets eten«comprenant»lesprotocoles,ilestcapablededétecterdespaquetsmalveillantsconçus pouroutrepasserunpare feuauxrèglesdefiltragetroplaxistes,etdechercherdessignes d attaqueàdifférentsendroitssurleréseau.quelquesexemplesdenids:netranger,nfr, Snort,DTK,ISSRealSecure7. LesIDSréseauontdesatouts,parexemple,lesdétecteurspeuventêtrebiensécurisés puisqu'ilsse«contentent»d'observerletrafic,lesscanssontdétectésplusfacilementgrâce auxsignatures,etc.cependant,lesproblèmesmajeursliésauxnidssontdeconserver 73
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS toujoursunebandepassantesuffisantepourl écoutedel ensembledespaquets,etdebien positionnerl IDSpourqu ilsoitefficace. PremiergagedequalitépourunNetworkIDS:l'exhaustivitédufichiercontenantles signaturesdesattaques.cefichierestcentraliséetmisàjourparlefabricantdesolutionsde NetworkIDS.Ilfautdoncpensertrèsrégulièrementàentéléchargerlalistelaplusrécente. Parextension,laqualitédeséquipesdeveilledufabricantconditionnelargementl'efficacité desesproduits:lesplusgrandesmarquesemploientplusieursdizainesdepersonnesàlamise àjourdecettelistedesignatures. UndespointscruciauxdesNIDSconcernelechoixdeleursemplacements.«Unesonde placéeàunmauvaisendroitpeutêtreinefficace»,soutientphilippesolini,networkdesign ConsultantchezUnisys.Ilestd'ailleurscourantquel'onnepuissepassecontenterd'unseul systèmedefiltrage:plusunréseauestcomplexe,plusilprésentedevulnérabilités.ilen devientlogiquementplusdifficileàprotéger.maischaquenetworkidsrajoutécoûtecher: cesmachinessontparticulièrementgourmandesenressources."lesdébitsanalyséssonttrès lourds,ilestdoncnécessairededédieraunetworkidsdesmachinestrèspuissantes,oudes appliances(boitesnoires)spécialiséspourparveniràlessoutenir",expliquephilippesolini. III.3.2.2LeHostIDS:Unesolutionquimonte Ensomme,leNetworkIDSestungendarmequicomparechaquetrameàunebanquede portraitsrobots.maisilnegarantitpasàluiseulunniveaudesécuritéprochede100%.pour yparvenir,ilfautmettreenfactionunautregendarme,quiobserveralecomportementde chaquetrameetsignaleratoutcequiluiparaîtrainhabituel.c'estlerôleduhostids,une véritablesondequiestplacéeindividuellementsurchaquesystèmeàprotéger.unsystème quicorrigelesfaiblessesdesnetworkids. LatechnologieHostIDSexcelledansladétectiondesanomaliesconnuesetinconnues:si uneattaqueparvientàsefaufileràtraverslesmaillesdufilet,lasondevalarepérer:"lehost IDSréaliseunephotographiedusystèmeàunmomentdonné.Ildéfinittoutcequiest légitime.toutcequisortducadreetdeshabitudesdusystèmeestconsidérécommeune attaque.unemodificationdelabasederegistresseradoncbloquéeetferal'objetd'une alerte",expliquepascaldelprat(consultantensécuritéchezciscoenfrance).untravail complémentaireàceluidunetworkids. UnesondeHostIDSestmoinsonéreusequ'unNetworkIDS,maisondoitenplacerunesur chaquemachineàsurveiller.onlesréservedoncleplussouventauxmachinestrèsprotégées. Ellessontégalementbeaucoupmoinsgourmandesenressourcessystèmesqu'unNetwork IDS:onlestrouvedoncsousformedelogiciel,etnonplusintégréesàunserveurouune appliancecommelesnetworkids.placéessurunemachine,ellesneconsommenteneffet pasplusde5%desressources. Ensemble,lesdeuxgendarmesfontaccéderunréseaud'entrepriseàunniveaudeprotection optimal.aconditiond'êtrechapeautésparunbrigadier chef:ilsnesaventpastravailler correctementsansêtreencadrés.leproblèmedel'administrationdesidsauquotidien représenteeneffetlepointleplusdélicatetlepluscrucialpourunsystèmededétection d'intrusion.sionlenéglige,ilestpréférabledegardersonbudgetpourl'investirailleurs. Lessystèmesdedétectiond'intrusionbaséssurl'hôte(postedetravail,serveur,etc.),ouHIDS (Host basedids),analysentexclusivementl'informationconcernantcethôte.commeils n'ontpasàcontrôlerletraficduréseaumais seulement lesactivitésd'unhôte,ilsse montrenthabituellementplusprécissurlesvariétésd'attaques.cesidsutilisentdeuxtypes 74
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS desourcespourfourniruneinformationsurl'activité:leslogsetlestracesd'auditdusystème d'exploitation.chacunasesavantages:lestracesd'auditsontplusprécises,détailléeset fournissent une meilleure information ; les logs, qui ne fournissent que l'information essentielle,sontpluspetitsetpeuventêtremieuxanalysésenraisondeleurtaille.iln existe pasdesolutionuniquehidscouvrantl ensembledesbesoins,maislessolutionsexistantes couvrentchacuneunchampd activitéspécifique,commel analysedelogssystèmeet applicatifs,lavérificationdel intégritédessystèmesdefichiers,l analysedutraficréseauen direction/provenancedel hôte,lecontrôled accèsauxappelssystème,l activitésurlesports réseau,etc.parexemple,ledémonsyslogpeutêtreconsidérépartiellementcommeun systèmehids,carilpermetdeconsignercertainesactivités,etàl aided unanalyseur commeswatch,dedétectercertainestentativesd intrusion(commebadlogin);tripwire, centrantsonactivitésurl intégritédusystèmedefichiers,peutaussiêtrevucommeunhids, SecurityManager,etc. Lessystèmesdedétectiond'intrusionbaséssurl'hôteontcertainsavantages:l'impactd'une attaquepeutêtreconstatéetpermetunemeilleureréaction,desattaquesdansuntraficchiffré peuventêtredétectées(impossibleavecunidsréseau),lesactivitéssurl'hôtepeuventêtre observéesavecprécision,etc.ilsprésententnéanmoinsdesinconvénients,parmilesquels:les scanssontdétectésavecmoinsdefacilité;ilssontplusvulnérablesauxattaquesdetypedos ;l'analysedestracesd'auditdusystèmeesttrèscontraignanteenraisondelatailledeces dernières;ilsconsommentbeaucoupderessourcescpu,etc. Une version d IDS hybride est possible et désormais supportée par différentes offres commerciales.mêmesiladistinctionentrehidsetnidsestencorecourante,certainshids possèdentmaintenantlesfonctionnalitésdebasedesnids.desidsbienconnuscommeiss RealSecuresenommentaujourd'hui IDShôteetréseau.Dansunfuturproche,ladifférence entrelesdeuxfamillesdevraits estomperdeplusenplus(cessystèmesdevraientévoluer ensemble).decesdeuxfamillesprincipales,denombreusesvariantessontissuesetpeuvent êtreétudiéesenprofondeurenconsultantlesrapportsderechercheconcernantladétectionet lapréventiond intrusiondenathaliedagorn(lienàretrouver) Concrètement,cesontdonclessystèmesdedétectiond'intrusionréseauutilisantdesbasesde signaturesquidominentlesmisesenœuvreopérationnellesdisponiblessurlemarché. III.4 Limites des systèmes de protection contre les intrusions Laplupartdesreprochesfaitsauxsystèmesdeprotectioncontrelesintrusionsconcerneen réalitélessystèmesdedétectiond intrusion.c estpourquoilessystèmesdeprévention d intrusionssontsouventconsidéréscommelesaméliorationsdesids. Lessystèmesdeprotectioncontrelesintrusionsdoiventpouvoirsupporterletraficmaximal attenduàl'endroitoùilsserontplacés.siuncapteurnepeutpasgérerledébit,despaquetsde donnéesserontperdus,etlesdonnéestransitantparcepointneserontpastoutesanalysées. Cettesituationpeutmêmeavoirunimpactsurlesperformancesglobalesduréseauencréant ungouletd'étranglement.ilestdoncpréférabledesurestimerletraficréseaupotentiel transitantparlepointdedéploiementducapteurquelecontraire. Laplusgrandemenacequipèsesurlesdéploiementsd'IDS/IPSestque,aufildutemps, l'équipedesécuriténefasseplusattentionauxdonnéesenregistrées.c'estunpointqu'ilfaut prendreencomptelorsduchoixdesrèglesdesécurité.mêmesiungrandnombrede 75
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS messagessontinterceptésàtortlorsqu'unsystèmeestdéployélapremièrefois,celui cidoit êtreconstammentreconfigurépourenréduirepeuàpeulenombre.lebutétantdedisposer d'unsystèmerobusteetpratiquesusceptibleunjourdesauverlesdonnéesdel'entreprise. L unedesprincipaleslimitesqu onconnaîtauxidsestlephénomènedesfauxpositifsetdes fauxnégatifs.aprèslephénomènedefauxpositifsetdesfauxnégatifs,ilexisteencore plusieursautresimperfectionsetlimitessouventattribuéesauxids.ils agitentreautresdu modepromiscuité,deladéfinitionetmaintenancedessignatures,leurapprentissageetleur configurationdel IDSetenfinleslimitesgénérales. III.4.1Fauxpositifsetfauxnégatifs ParmilescomportementspossiblespourunIDS,onpeutenvisagerlesquatrepossibilités recenséesdansletableausuivantqu'uneintrusionsoitounonencoursdanslesystème informatiqueetquelesystèmededétectiond'intrusionaitémisounonunealerte. Pasd alerte Alerte Pasd attaque Vrainégatif Fauxnégatif Attaqueencours Fauxnégatif Vrainégatif Tableau3 2:ComportementsenvisageablespourunIDS Parmicesquatrecomportements,lesvraisnégatifsetlesvraispositifscorrespondentaux comportements souhaités. Toutefois un IDS est généralement imparfait et conduit à l'apparition des deux autres comportements non désirés. Parmi eux, un faux négatif correspondàuneattaquenondétectée,etunfauxpositifàl'émissiond'unefaussealerte.les différentsidssouffrentgénéralementd'imperfectionsdonnantlieuàl'apparitiondeces comportementsnondésirés,maisselondesaxesdifférentssuivantlesméthodesdedétection qu'ilsutilisent. UnreprochefréquemmentfaitendirectiondesIDSutilisantuneméthodededétection comportementaleestdecontenirdansleurprincipemêmedefonctionnementlapossibilitéde faussesalertes(unchangementdecomportementlégitimedétectécommeanormal)oudefaux négatifs(parexemplepouruneattaquetrèslente);tandisquelesapprochesparscénarii semblentthéoriquementêtreplusexactes.toutefois,labasedeconnaissanceutiliséedansles IDSparscénariiexigeunemaintenanceconstanteet,danslapratique,souffreégalement nécessairementd'imperfections. Bienquelesfauxnégatifssoienteffectivementlepremierdescomportementsindésirables pourunids,lesfauxpositifssontimportantsaussi:ilspeuventconduireàuneréellepertede confiancedanslescapacitésdedétectiondel'idsdelapartdesadministrateursquipeutfinir parremettreencauselafinalitédel'ids.c'estmêmeunedesvoiesd'attaqueenvisageables contreunsystèmeéquipéd'unids:générerunnombresuffisammentimportantdefausses alertespourréduirel'attentiondesadministrateursetdissimuleruneattaqueréelle.deplus, danslapratique,lesfauxpositifsdusàl'environnementdel'idsouàdessignaturesd'attaque un peu trop affirmatives sont souvent nombreux ; et ceci nécessite généralement un reparamétragedel'idspourfacilitersonexploitation,auprixdel'introductiondepossibilités defauxnégatifs.lagestiondesfauxpositifsestlepremierproblèmeauxquelssontconfrontés lesadministrateursd'unids,etilestgénéralementdetaille. LesIDSbaséssuruneapprocheparscénarii,c'estàdirelaplupartdesIDScourants,souffrent surcepointd'unréelproblèmequidemanderaitcertainementdedévelopperàlafoisles 76
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS possibilités d'adaptation de l'ids à son environnement (peut être par des moyens de corrélation)etunemeilleurevalidationdessignaturesd'attaquedisponibles. L'utilisationdetechniquesdecorrélationd'alertesprovenantdeplusieursIDSsembleêtreune desvoiesenvisageablespourtraitercesproblèmesd'analysedesalertesetnotammentdes faussesalertes.danscecadre,ladiversificationdesméthodesdedétectionutiliséesparles différentsids,ainsiquedeleurssourcesdedonnéesestaussiànouveauenvisageable.(dans uncertainsens,ils'agitd'ailleursderé inventerlaroueunefoisdepluspuisqueleprécurseur des systèmes de détection d'intrusion, nommé IDES, combinait déjà l'utilisation d'une approchecomportementale statistique etd'uneapprocheàbasederègles systèmeexpert, danslesannées1980ducôtédestanford.). III.4.2Lemode promiscuous L utilisationdumode promiscuous présentequelquesinconvénients,notamment: Réponseinvolontairedusystème:parnature,lesIDSdoiventmettreleurcarteréseau enmode promiscuous afindepouvoirrecevoirl'intégralitédestramescirculantsur leréseau.ainsi,l'idsnegénéreragénéralementaucuntraficetsecontenterad'aspirer touslespaquets.cependant,cemodespécialdésactivelacouche2 liaison dela machine(lefiltragesurlesadressesmacn'estplusactivé).ilsepeutalorsquela machine réponde à certains messages (ICMP echo request généré avec l'outil Nemesis); Miseenévidencedelaprésenced unids:lemode promiscuous génèredesaccès mémoireetprocesseurimportants;ilestpossiblededétecterdetellessondesen comparantleslatencesdetempsderéponseaveccellesdesmachinesdumêmebrin LAN(ouproche).Destempsderéponsetropimportantssontsignificatifsd'une activitégourmandeenressourcestellequelesniffing,validantpossiblementla présenced'unids; L utilisation du mode promiscuous implique d installer une sonde par réseau commuté. III.4.3Ladéfinitionetlamaintenancedessignatures Touteslesattaquesnesontpasdétectées,selonlesfonctionnalitésdusystème,ladéfinitionde lasignature,lamiseàjourdelabase,lachargedusystème,etc.: Limites humaines :signaturespasàjouroumalconçues.ladétectiond abusapour impératifsunebonneconceptiondessignaturesd attaquesetunemiseàjourcontinue delalistedessignatures; Contexted utilisation:parfoislatechnologieestbaséesurdessignaturesquine reposentpassurlecontexted utilisation.laconséquenceestdouble:denombreux fauxpositifsetunedégradationimportantedesperformancesdusystème; Mêmesilaméthodedessignaturesdecorps(ycomprislessignaturesdechaîne) sembleêtreassezsûre,ilyamoyendelescontourner; Vulnérabilitéauxmutations:deparsonmanquedeflexibilité,ladétectionpar signaturesd'attaquesesttrèsvulnérableauxmutations.d unepart,pourpouvoir définirunesignature,ilfautavoirdéjàétéconfrontéàl'attaqueconsidérée; 77
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS D'autrepart,certainesdecessignaturessebasentsurdescaractéristiques volatiles d'un outil,commeparexempleleportqu'unchevaldetroieouvrepardéfautoulavaleurd ISN (InitialSequenceNumber)choisieparcertainsoutilsdepiratage.Orceslogicielssontsouvent soit hautement configurables, soit open source donc librement modifiables. Les caractéristiques retenues pour définir la signature sont donc fragiles, et les signatures extrêmementsensiblesauxmutations. Fautededéfinition,lesnouvellesattaquespassentl IDSsansêtredétectées. III.4.4L apprentissageetlaconfigurationdesids L apprentissageducomportement«normal»n estpasaisé.automatiserleraisonnement conduisantàpenserquelecomportementest déviant parrapportàceluiconnuestunetâche difficile.parcontre,cettetechniqueestappliquéepardéfaut(laplupartdutemps)parles administrateursréseauousystème:lorsquequelque choseparaîtinhabituel(parexemple,des picsdebandepassante,desservicesquitombent,dessystèmesdefichiersquiseremplissent plusvitequ àl accoutumée,etc.),l usageveutquedesrecherchespluspousséessoient entreprises. Parailleurs,touteanomalienecorrespondpasforcémentàuneattaque,celapeutêtreun changementdecomportementdel utilisateurouunchangementdelaconfigurationduréseau. Enrèglegénérale,laconvergenceversunmodèlecomportemental normal estplutôtlongue. Lorsduparamétragedel IDS,touteladifficultépourunedétectionefficacerésidedansle choixdesmétriques,desmodèlesdecomportementetdansladéfinitiondesdifférentsprofils. Pourtoutescesraisons,lesIDSfonctionnantpardétectiond anomaliesontreconnuscomme étanttrèslongsetfastidieuxàconfigurer. Mêmeaprèsuneconfigurationefficace,rienn'empêcheunpiratesesachantsurveilléde rééduquer untelsystèmeenfaisantévoluerprogressivementsonmodèledeconvergence versuncomportementanormalpourl'analyste,maistout à fait normal d'unpointdevue statistique. III.5 Etudes comparatives de quelques systèmes de protectioncontrelesintrusions Danscettepartie,nousallonseffectuerunecomparaisondequelquesIDSetIPS.Ils agitde lescomparersuivantlescritèrescommel analysedutraficentempsréel,lacapacitéde blocagedesattaques,lesalertesentempsréel,lamiseenlogdespaquetsdedonnées,les méthodesdefiltrage.enanalysantletableaudecomparaisonsuivant,onconstatequetousles systèmesétudiésdisposentdesqualitéssuivantes: L analyseentempsréel; Ladétectiondesvirus,desversetdeschevauxdetroie; Ladétectiondesattaquesinternesetexternes; Lacapacitédeblocagedesattaques; Ladétectiondessondesexternesetinternes; Lacapacitédeblocagedessondes. Parmi ces systèmes, seuls Juniper IDP et Snort 2.1.3 peuvent s exécuter dans les environnements Linux. Les autres pour la plupart fonctionnent dans les systèmes 78
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS d exploitationwindows.quantàsonicwallipsservice,ilpeuts exécuterdanstousles environnementsip. CAeTRUST Intrusion detection3.0 JuniperIDP McAfee Intrushieldsérie I McAfee Intercept5.0 Snort2.1.3 SonicWALLIPS service Fournisseur Computer Associates Juniper McAfee McAfee Snort ACAPacific Analysedutrafic entempsréel Oui Oui Oui Oui Oui Oui Détectiondes virus/vers/chevaux detroie Oui Oui Oui Oui Oui Oui Détectiondes attaquesexternes Oui Oui Oui Oui Oui Oui Détectiondes attaquesinternes Oui Oui Oui Oui Oui Oui Capacitéde blocagedes attaques Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, listesdeblocage définies par l utilisateur et règles personnalisables Mise à jour, intégrationtierce, personnalisables parl utilisateur Misesàjour Console, courrier électronique, pager,smspar courrier électronique Console, courrier électronique, pager, SNMP, génération de processus Fichiers journaux, courrier électronique,syslog, SGMS Fichiers journaux, courrier électronique, console, applications tierces Microsoft SQLServer ND ND PRODUITS Détectiondes sondesexternes Détectiondes sondesinternes Capacitéde blocagedessondes Définitionsdu blocagedessondes Oui Alerteentemps réel Courrier électronique, pager, application d exécution, SNMP,console Signatures avec données d état, anomalie de protocole,détection desportesdérobées, anomaliedetrafic, protection de couche 2, inondation Syn, profilage de la sécurité d entreprise Courrier électronique, syslog, SNMP, fichier journal, SMSexterne Espace de Syslog, base de Oracles, Miseenlogsdes travail donnéesinternes MySQL paquetsdedonnées (propriétaire), base de données ODBC Recherchede contenu Miseen correspondancedu contenu Filtrageducontenu Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui Oui Oui ND ND Oui Oui 79
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Base Méthodedefiltrage données d URL Outilsderapports Système d exploitation compatible de Définies par ND l administrateur ND Oui Définies par noire, l administrateur Liste tierces, définies par l administrateur ND (vendus ND (vendus séparément) séparément) de Linux, Tout Windows environnementip Oui Oui Oui Windows 2000 (autonome), Windows 2000/2003/XP pour le moteur à distance Console de gestion, Windows, Linux; Serveur degestionlinux, Solaris Console de Système gestion gestion Windows Windows 2000 2000;console WindowsNT, 2000, XP, agents Windows, Solaris, HP/UX Tableau3 3:Tableaucomparatifdequelquessystèmesdeprotectioncontrelesintrusions Encequiconcernelesalertesentempsréel,touscessystèmesensontdotésdiversement.On adesalertesparsms,parcourrierélectronique,surlesconsoles,parledémonsyslog,les pagersetc. Snort2.1.3etSonicWALLIPSnefontpaslamiseenlogdespaquetsdedonnées.Cependant danscedomainelemeilleursystèmeestlemcafeeintrushieldserieicarilpeuttravailleren interactionavecdeuxdesmeilleurssgbdquiexistent.ils agitdemysqletoracle. III.6PrésentationdeSnort,SnortSAMetdeBASE III.6.1Description SnortestunNIDS/NIPSprovenantdumondeOpenSource.C estpourquoinousle recommandonsfortementauxentreprisesetorganisationsafricaines engénéralcarces dernièresn ontpassouventsuffisammentderessourcesfinancièresàaccorderàl achatdes logicielspropriétaires. Avecplusde2millionsdetéléchargements,ils'estimposécommelesystèmededétection d'intrusionsleplusutilisé.saversioncommerciale,pluscomplèteenfonctionsdemonitoring, luiadonnébonneréputationauprèsdesentreprises. Snortestcapabled'effectueruneanalysedutraficréseauentempsréeletestdotéde différentestechnologiesdedétectiond'intrusionstellesquel'analyseprotocolaireetlepattern matching.snortpeutdétecterdenombreuxtypesd'attaques:bufferoverflows,scansdeports furtifs,attaquescgi,sondessmb,tentativesdefingerprintingdesystèmed'exploitationetc. Snortestdotéd'unlangagederèglespermettantdedécrireletraficquidoitêtreacceptéou collecté.deplus,sonmoteurdedétectionutiliseunearchitecturemodulairedeplugins. NotonsqueSnortdisposedetroismodesdefonctionnement:snifferdepaquets,loggerde paquetsetsystèmededétection/préventiond'intrusions.nousnenousintéresseronsqu'àce derniermode. III.6.2Installation PourinstallerSnort,deuxméthodessontpossibles: 80
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Lapremièreméthodeestcelledel installationautomatiqueetquiconsistesurun systèmed exploitationtellequelinuxdebianetchparexempleàexécutertout Ilfautnoterqu avec simplementlacommandesuivante:#apt getinstallsnort. l installationautomatiquetouteslesbibliothèquesetautreslogicielsnécessairessont aussiautomatiquementproposésetinstallésparlesystème. Ladeuxièmeméthodeconsisteàtéléchargerlessourcesetdelescompilersoimême aveclesoptionsetlesbibliothèquesquel ondésire. Voicibrièvementenquelquesétapescommentonpeutréaliserl installationparladeuxième méthode. 1. Téléchargerlessourcessurwww.snort.org.Lorsdel'écrituredecedocument,la dernièreversionstableétaitla2.4.4. 2. TéléchargeretinstallerlesbibliothèquesnécessairespourSnort: libpcap(http://www.tcpdump.org):offredesfonctionsdesniffer PCRE(http://www.pcre.org):permetd'utiliserdesexpressionsrégulièresde type Perl. La compilation de ces bibliothèques se fait très aisément :./configure,make,makeinstall. 3. Ouvrirunterminal,décompresserensuitel'archivedeSnortetseplacerdansle répertoiredessourcesdécompressées. 4. Configurer la compilation de Snort afin d'activer plusieurs fonctionnalités :./configure[options]. Deuxoptionsnousontsembléintéressantes: with mysql=dir:activerlesupportdemysql.ainsisnortenregistrerales alertesdansunebasededonnéesaccessiblepard'autresapplications(ex: BASE,décriteplusloin).MySQLn'estbiensûrpasl'uniqueSGBDsupporté. PostgreSQLouOraclepeuventégalementêtreutilisésaveclesoptions withpostgresqlet with oracle. enable flexresp : activer les réponses flexibles en cas de tentatives de connexion hostile. Pour activer cette option, la bibliothèque libnet (http://www.packetfactory.net/libnet)estnécessaire. 5. Compilerlessources:make 6. InstallerSnort:makeinstallenmoderoot 7. PourqueSnortpuissefonctionnerenmodedétection/préventiond'intrusions,ilest nécessairedeluifournirdesfichiersderègles.lesitedesnortproposedeuxtypesde règles:lesrèglesofficiellesetlesrèglescrééesparlacommunauté.certainesrègles officiellesnesontdisponiblesquepourlesutilisateursenregistrés,tandisqueles règlescommunautairessontdisponiblesàtousetmisesàjourrégulièrement.ilest cependantimportantdenoterquelesrèglesproposéesparlacommunautén'ontpasété forcémenttestéesparl'équipeofficielledesnort.aprèstéléchargement,l'archivedes règlesdoitêtredécompressée.ilestconseillédeplacerlerépertoirerulesdansle dossierdesnort.nouspouvonsremarquerquelesrèglesconsistentendesimples fichierstextes,etqu'unfichierunpeuspécialestprésent:snort.conf.cedernierva nouspermettredeconfigurersnort. 81
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS III.6.3Configuration AfindeconfigurercorrectementSnortpourqu'ilpuissefonctionnerenmodedétection d'intrusions,ilfautmodifierlefichiersnort.conf.l'emplacementpardéfautdecefichierdoit normalement être /etc/snort.conf. Cependant, il sera possible de spécifier un autre emplacementlorsdel'exécutiondesnort,àl'aidedel'option c. Lefichierdeconfigurationcontientdenombreusesoptionsparamétrables,ainsiquedes explicationspourpouvoirlesmodifiercorrectement.nousn allonsnousintéressericiqu'à quelquesvariables: LavariableHOME_NETpermetdespécifierquelsréseauxouquellesinterfaces serontsurveilléesparsnort.lavaleuranysignaleàsnortdesurveillertoutletrafic. SileréseauàsurveillerpossèdedesserveursDNS,SMTP,FTP,etc,ilestpossiblede spécifier les adresses IP de ces serveurs via les variables DNS_SERVERS, SMTP_SERVERS,...Sileréseaunepossèdepasuntypespécifiquedeserveur,ilest conseillédecommenter(aveclecaractère#)laligneconcernée,afind'optimiserle traitementdesnort.eneffet,ilestinutiled'analyserdutrafichttpsiaucunserveur Webn'estdisponible. Certains ports de services peuvent être configurés via des variables telles que HTTP_PORTSouORACLE_PORTS. LavariableRULE_PATHesttrèsimportante.Ellepermetdespécifierlerépertoireoù sontstockéslesfichiersderèglesdesnort. Lesdirectivesincludepermettentd'incluredesfichiersderègles.Iciencore,ilest conseilléden'inclurequelesrèglesnécessairesenfonctiondesservicesdisponibles surleréseau. III.6.5Exécution L'exécutiondeSnortsefaitenlançantl'exécutablesnortenmoderootetavecdifférentes options.voyonslesprincipauxargumentsdesnort: A:générerdesalertes.Activépardéfautavecl'option c c<emplacementdesnort.conf>:lancersnortavecdesfichiersderègles. l<répertoiredelog>:spécifierlerépertoireoùleslogsd'alertesserontstockés (défaut:/var/log/snort) v:modeverbose.permetd'afficherlespaquetscapturés T:modetest.PermetdetesterlaconfigurationdeSnort AvantdelancerSnortenmodeNIDS,ilestpréférabledetestersileprogrammearriveà récupérerlespaquetsquicirculentsurleréseau.pourcela,nouspouvonsparexemplelancer SnortensimplemodeSniffer:snort v.siaucunpaquetn'estcapturéetaffiché,ilest probablequesnortn'écoutepassurlabonneinterface.l'option ipermetdespécifierune autreinterface. LançonsmaintenantSnortenmodeNIDS.Pourcela,nousluiprécisonsl'emplacementdu fichierdeconfigurationavecl'option c:#snort c/opt/snort/rules/snort.conf 82
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Touteslesalertesdétectéessontainsistockéesdanslefichier«/var/log/snort/alert».Pour chaque alerte, Snort donne une priorité, une description, les flags des paquets et éventuellementdesadressessurinternetoùsetrouventdeplusamplesinformationssurla tentatived'intrusion. Exemple: [**][1:1384:8]MISCUPnPmalformedadvertisement[**] [Classification:MiscAttack][Priority:2] 03/25 17:34:49.251861192.168.0.1:1900 > 239.255.255.250:1900 UDPTTL:1TOS:0x0ID:37277IpLen:20DgmLen:437 Len:409 [Xref=> http://www.microsoft.com/technet/security/bulletin/ms01 059.mspx][Xref=>http://cve.mitre.org/cgibin/ cvename.cgi?name=2001 0877][Xref=> http://cve.mitre.org/cgi bin/cvename.cgi?name=2001 0876][Xref=>http://www.securityfocus.com/bid/3723] III.6.6Créationdenouvellesrègles BienquelesiteofficieldeSnortproposedesrèglesprêtesàl'emploietrégulièrementmisesà jour,ilpeutêtreintéressantdecréersespropresrèglesafind'adapteraumieuxsnortauréseau qu'ildoitsurveilleretprotéger.parconvention,lesnouvellesrèglespersonnellessontàplacer danslefichierlocal.rules. UnerègleSnortestcomposéededeuxpartiesetpossèdeleformatsuivant:Header(Options). LeformatdelapartieHeaderestdéfinidelamanièresuivante:actionprotocoleadresse1 port1directionadresse2port2 Lechampactionpeutprendrelesvaleurssuivantes: alert:générerunealerte+loggerlepaquet log:loggerlepaquet pass:ignorerlepaquet activate:activerunerègledynamique dynamic:définirunerègledynamique,quiestpassivetantqu'ellen'estpasactivéepar uneautrerègle drop:demanderàiptables(netfilter)debloquerlepaquet,puislelogger reject:demanderàiptablesdebloquerlepaquet,puislelogger,etenvoyerune commandetcprst(reset)ouuneréponseicmphostunreachable sdrop:demanderàiptablesdebloquerlepaquet.cederniern'estpasloggé. Lechampprotocolespécifieleprotocolepourlequellarègles'applique.Lesvaleurspossibles sont:tcp,udp,icmpouip. Leschampsadresse1etadresse2indiquentl'adresseIPsourceetdestinationdupaquet.Le mot clé any permet de spécifier une adresse quelconque. Les adresses doivent être numériques,lesadressessymboliquesnesontpasacceptées. 83
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Leschampsport1/port2spécifientlesnumérosdeportutilisésparlasourceetladestination. Lemotcléanypermetdespécifierunportquelconque.Desnomsdeservicespeuventêtre utilisés:tcp,telnet,...demêmedesplagesdeportspeuventêtrespécifiéesaveclecaractère «:». Lechampdirectionspécifiel'orientationdupaquet.Cetopérateurpeutprendredeuxvaleurs: :adresse1versadresse2 :deadresse1versadresse2,oudeadresse2àadresse1 Notonsqu'iln'yapasd'opérateur. LapartieOptionsdesrèglescontientdifférentesoptions,séparéesparunpoint virgule,qui vontpermettredepréciserdescritèresdedétection.pourchaqueoption,leformatest nomoption:valeur1[,valeur2,...] Voicilesoptionsimportantes: msg:spécifierlemessagequiseraaffichédanslelogetdansl'alerte reference:faireréférenceàunsiteexpliquantl'attaquedétectée classtype:définirlaclassedel'attaque(troyen,shellcode,...) priority:définirlasévéritédel'attaque content:spécifierunechaînedecaractèresquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle rawbytes:spécifierunesuited'octetsquidoitêtreprésentedanslepaquetpour déclencherl'actiondelarègle uricontent:identiqueàcontentmaisestadaptéauformatnormalisédesuri(ex: hexadécimalaccepté) pcre:utiliseruneexpressionrégulièrecompatibleperlpourspécifierlecontenudu paquet ttl:spécifierlavaleurduttldupaquet flags:spécifierlaprésenced'unflagtcpdanslepaquet(ex:syn,fin,...) fragbits:vérifierlaprésencedecertainsbitsip(morefragments,don'tfragmentoubit réservé) session:extrairetouteslesinformationsdelasessiontcpàlaquellelepaquetsuspect appartient resp:activeruneréponseflexible(flexresp)afindebloquerl'attaque.ilestainsi possibled'envoyerunecommandetcpouicmpprécise.cetteoptionnécessite l'activationdumodeflexresplorsdelacompilationdesnort. limit:limiterlenombred'actionspendantunintervalledetempspourlemême événement. Exemplederègle: alerttcpanyany >$HTTP_SERVERS$HTTP_PORTS(msg:"WEBATTACKS /bin/lscommandattempt";uricontent:"/bin/ls";nocase;classtype:web application attack;) Cetterèglepermetdegénérerunealertequandunpaquetprovientd'uncouple(adresse:port) quelconque,estàdestinationdesserveurshttpdéfinisdanssnort.conf,etcontientlachaîne «/bin/ls»dansl'uri.lemessagedel'alertesera«web ATTACKS/bin/lscommand 84
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS attempt».cetteattaqueseraclasséedanslaclasseweb application attack(prioritémedium pardéfaut). Ilestbiensûrimpossibled'êtreexhaustificipourdécrireleformatdesrèglesSnort.Le manuelutilisateurdisponiblesurlesiteofficielindiquecommentutiliserauxmieuxle langagedessignaturesdesnort. III.6.7SnortSam SnortSamestunpluginOpen Sourceetmulti plateformepoursnort.ilpermetdebloquer automatiquementdesadressesiplorsqu'ildétecteunetentatived'intrusion.leblocagesefait encommuniquantavecunfirewallmatériel(ex:ciscopix)oulogiciel(ex:packetfilter, IPtablesetc). SnortSamestconstruitautourd'unearchitectureclient/serveur(Snort/SnortSam)permettant demettreenplacelenipsdemanièredistribuée.deplus,pourdesraisonsdesécurité,toutes lescommunicationsréaliséesentresnortetl'agentdesnortsamsontcryptéesàl'aidede l'algorithmetwofish. Parmilesfonctionnalitésintéressantes,onnoteralaprésenced'une«White List»,c'est à dire unelisted'adressesipquinepeuventpasêtrebloquées.celareprésenteunesécuritépour éviterunblocaged'adressessensibles(routeur,serveurintranetetc)encasdespoofingdela partdupirate. LepluginSnortSamestégalementdotéd'unsystèmedelogetdenotificationparemaildes événements. Lamiseenplaced'actionsdeblocageesttrèssimple.IlsuffitdemodifierlesrèglesSnort poursignalerqueladétectiondecertainessignaturesdoitprovoquerunblocage.pourcela,le motcléfwsamaétérajouté.ilpermetnotammentdespécifieruneduréedeblocage.cette option de durée peut être intéressante lors d'un blocage après des tentatives répétées d'authentificationavecunmotdepasseerroné. III.6.8LaconsoleBASE Pardéfaut,lesalertesdeSnortsontenregistréesdansunsimplefichiertexte.L'analysedece fichiern'estpasaisée,mêmeenutilisantdesoutilsdefiltreetdetri.c'estpourcetteraison qu'ilestvivementconseilléd'utiliserdesoutilsdemonitoring.parmiceux ci,leplusenvogue actuellementestbase(basicanalysisandsecurityengine),unprojetopen sourcebasésur ACID(AnalysisConsoleforIntrusionDatabases).LaconsoleBASEestuneapplicationWeb écriteenphpquiinterfacelabasededonnéesdanslaquellesnortstockesesalertes. Pourfonctionner,BASEabesoind'uncertainnombrededépendances: UnSGBDinstallé,parexempleMySQL SnortcompiléaveclesupportdeceSGBD UnserveurHTTP,parexempleApache L'interpréteurPHPaveclessupportspourleSGBDchoisi,labibliothèqueGDetles sockets. LabibliothèqueADODB:http://adodb.sourceforge.net 85
LESSTRATEGIESDESECURITEETSYSTEMESDEPROTECTIONCONTRELESINTRUSIONS Nousnedétailleronspasicil'installationdechaquedépendance.Ladocumentationlivrée aveclessourcesdebase(disponiblessurhttp://secureideas.sourceforge.net)fournitles informationsnécessaires. Notonscependantquel'archivedessourcesdeSnortdisposeégalementd undossierschemas contenantlecodesqlpourcréerlastructuredelabasededonnéespourdifférentssgbd.le fichierdoc/readme.databasedonnetouteslesindicationspourcréerleschémadelabasede données. AfinqueSnortenregistrelesalertesdanslabasededonnées,ilnefautpasoublierdemodifier lefichiersnort.confetrajouteruneligneoutputdatabaseaveclesinformationspourse connecteràlabasededonnées. Exemple : output database: log, mysql, user=snortusr password=pwd dbname=snort host=localhost AprèsconfigurationetinstallationdeBASEainsiquedetoutessesdépendances,nous pouvonsyaccéderavecunnavigateurinternet.sitoutsepassebien,unécransimilaireà l'illustrationsuivanteestobtenu: Figure3 10:InterfaceWebdeBasicAnalysisandSecurityEngine(BASE) PourterminercetteprésentationdeSnortetcescomposants,nousdironstoutsimplementque Snortestuntrèspuissantoutilconnucommeundesmeilleurssurlemarché,mêmequandil estcomparéàdesidsetipscommerciaux.ilauneplusgrandecommunautéd utilisateurset dechercheurs(denombreuxplugins,frontends,consolesdemanagementetc). Samiseenœuvrebasiquepeut êtrerapidementeffectuéegrâcenotammentauxnombreux livresetdocumentationsexistantsàsonsujet. 86