HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Dépérimétrisation ou pas? Conférence (ISC) 2 "Gouvernance informatique, cybercrime et sécurité de l'information" Paris, 22 novembre 2007 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
Etat des lieux Sommaire Réalisations récentes Quid de la protection périmétrique? Conclusion Les transparents seront disponibles sur www.hsc.fr 2 / 11
Etat des lieux Réseaux privés protégés par une défense périmétrique De plus en plus sophistiquée Mais de moins en moins sûre Surface d'exposition aux attaques de plus en plus grande De plus en plus d'appliances spécialisées Distinction entre la connexion à l'intérieur de l'entreprise et à distance Postes de travail de moins en moins maîtrisés Echanges avec les mémoires et disques miniatures 3 / 11 Clés mémoire USB SDcard, appareil photo Lecteurs MP3, Ipod Connexions et échanges sans contrôle nombreux Assistants personnels, téléphones
Etat des lieux Réseaux d'entreprises, réseaux privés, sont finalement peu sûrs, perpétuellement victimes de problèmes, et de moins en moins privés! Gestion et mise à jour d'agents sur chaque poste Antivirus, firewall personnel, anti-maliciels, analyse comportementale Sensibilisation incessante nécessaire Augmentation des coûts d'exploitation Helpdesk, correctifs de sécurité, mises à jour Multiplication des échanges avec des prestataires Présence dans son réseau privé de centaines de prestataires 4 / 11
Etat des lieux Contournements de la politique de sécurité vis-à-vis de la protection périmétrique sans fin Exemple : Accès internet ADSL dans tous les bureaux Utilisateurs qui ne comprennent pas pourquoi internet ne marche pas comme chez eux URLs interdites Lecture à distance du courrier électronique personnel Généralement aucune justification ni explication plausible par les RSSI Ces pseudos mesures de sécurité n'ont souvent aucne justification simplement car elle ne protègent pas un risque identifié Mélange entre la productivité à la charge des ressources humaines et aux responsables et la SSI 5 / 11
Etats des lieux Contournements de la politique de sécurité vis-à-vis de la protection périmétrique sans fin Utilisation d'infrastructures spontanées Exemple : Agenda partagé sur un serveur externe à l'insu de l'entreprise Envoi de fichiers professionnels aux PC personnels Exemple : Enfant à aller chercher à la crèche Travail à finir pour le landemain Envoi à la maison Renvoi au bureau 6 / 11
Réalisations récentes Développement d'une défense en profondeur Bastions internes Cloisonnement des réseaux Contrôles d'accès aux applications et aux données Authentification forte Contrôle d'accès au réseau privé d'entreprise 802.1X Infrastructures de quarantaine pour les ordinateurs portables 7 / 11
Réalisations récentes Développement des architectures privilégiant la virtualisation et l'exécution à distance Fermes de serveurs SAN Citrix, Vmware, etc Données et applications critiques reprotégées dans le réseau d'entreprise Poste de travail devient passif Continue cependant à contenir des données de valeur Archives de courriers électroniques Copie de bases de données et fichiers divers 8 / 11
Parfois dépassée Quid de la protection périmétrique? Plus de différence entre poste de travail portable et fixe De moins en moins de différence entre l'ordinateur du bureau et l'ordinateur à la maison Mais pourquoi dépenser autant d'énergie pour gérer les postes de travail? De nouveaux périmètres émergent Plusieurs niveaux Contrôle d'accès aux données et applications Authentification forte dans le réseau 9 / 11
Quid de la protection périmétrique? Appréciation des risques à revoir de fond en comble Mise en regard du traitement des risques avec leur coût Mise en regard des mesures de sécurité avec leur adéquation avec les habitudes de la génération PSP/SMS, des générations à venir Facebook/iPod Réflexion à engager... Peut aboutir à un découpage du réseau Abandon d'un certains nombre de Pcs Création de bastions (donjons, bulles,...) dans le réseau 10 / 11
Conclusion La protection périmétrique est nécessaire, ne serait-ce que pour des raisons juridiques La protection périmétrique n'est plus ce qui protège le patrimoine de l'entreprise Le patrimoine doit être protégé dans un centre de données avec un contrôle d'accès fort La sensibilisation est tout azimuts et concerne aussi les équipements personnels Débat - Questions? Herve.Schauer@hsc.fr www.hsc.fr 11 / 11