‘ Les mathématiques sont impeccables, les ordinateurs faillibles,
les réseaux médiocres et les gens pires que tout ‘. Si Bruce Schneier, fondateur et PDG de Counterpane
Internet Security, et expert en sécurité, fait preuve de cynisme dans son ouvrage(*), c’est pour mieux insister sur la principale menace de tout système d’information : le facteur humain. Selon Computer Security Institute
(CSI), 60 % des attaques proviennent de l’intérieur de l’entreprise. L’ennemi n’est pas le mythique hacker juvénile et surdoué, mais n’importe quel employé.‘ Faute de formation ou d’information, le salarié, en contournant la sécurité, devient une source potentielle de malveillance ‘, explique Marc Blet, directeur de projets chez IntrinSec. Les
exemples, relevés par les consultants sécurité, ne manquent pas : utilisations abusives de modem RTC et d’accès ADSL pour se connecter à son poste de travail depuis son domicile, réseaux Wi-Fi sauvages, répertoires partagés pour l’échange de
fichiers, ou communication irresponsable de son mot de passe. S’y ajoute l’emploi de ressources professionnelles à des fins personnelles, relevé par 78 % des entreprises américaines, selon le CSI.Prendre en compte le facteur humain nécessite d’abord de sensibiliser les utilisateurs. ‘ Contrôler les employés est une question de démarche ‘, insiste Olivier Caleff, directeur
technique d’Apogée Communications. La première étape concerne la communication et l’explication d’une charte de sécurité. ‘ Elle préviendra de la possibilité d’audits surprises sur les postes de travail afin d’en vérifier la
correcte utilisation ‘, assène Olivier Caleff. Le but est de jouer de la peur du gendarme.
Savoir à tout moment qui fait quoi
Quelle que soit la définition de cette politique, elle n’a pour objet que de supporter l’architecture de sécurité mise en place. Celle-ci doit en priorité tenir compte de trois exigences : le contrôle d’accès, la gestion des
identités et la supervision, les deux premières étant consécutives et indissociables.Intégrer la menace représentée par l’utilisateur se résume à un objectif : savoir, à tout instant, qui fait quoi dans le système d’information. Ce qui exige de prendre certaines précautions. ‘ Il faut
s’astreindre à des accès nominatifs et ne donner accès à l’utilisateur qu’à ce dont il a besoin ‘, préconise Marc Blet. Les accès nominatifs supposent une gestion des délégations d’accès : un stagiaire ne recourra
pas au mot de passe de son responsable de stage, mais se verra attribuer des autorisations temporaires en fonction de sa mission.La gestion des mots de passe est au c?”ur de la problématique du contrôle d’accès. Simplifier l’authentification se révèle primordial. Sous Windows, le durcissement des mots de passe sert à définir des règles de choix de mot de passe
par les utilisateurs, comme le mélange de caractères alphanumériques ou une longueur minimale. Cependant, les seules règles de Windows restent insuffisantes. Le recours à des tokens (calculette challenge/response, cartes à puces, clés USB)
représente une alternative que les entreprises ne peuvent plus ignorer, malgré son surcoût.
Établir des cloisonnements
Hors des tokens, il faut s’en remettre à un usage strict des serveurs d’authentification centralisés et des protocoles Radius (Remote Authentication Dial-in User Service) et LDAP. Le déploiement d’un projet SSO (Single Sign-On) facilite
l’usage des mots de passe.
Markup Language) doit apporter une réponse à ce problème d’interopérabilité. ‘ Seules 20 % des applications nécessiteront 80 % des actions d’authentification ; il n’est donc pas nécessaire de tout
couvrir ‘, ajoute Marc Blet, qui conseille de commencer par étapes avec les applications Windows, puis d’élargir aux PGI de type SAP, mieux supportés.La gestion des identités passe par le cloisonnement des groupes de travail (par exemple production et R&D). Un cloisonnement, du réseau cette fois, pose les fondements d’un déploiement de la sécurité poste à poste en liant
l’utilisateur à l’adresse IP de sa machine. Ce n’est pas la seule voie, selon Olivier Caleff : ‘ Le cloisonnement intervient également au niveau des requêtes applicatives ‘. Ces règles facilitent
le travail de supervision par l’analyse des fichiers de logs et la corrélation des événements.Des points simples sont à surveiller, comme l’heure d’un événement : de nombreuses requêtes sur un serveur à l’heure du déjeuner doivent alerter. Une règle d’or s’applique : dès qu’un utilisateur a outrepassé ses droits et
trouvé une faille, il s’en servira à outrance. L’analyse de la volumétrie des transactions et du nombre de trames circulant sur le réseau représente donc des indicateurs précieux. Interdire les adresses purement numériques dans les requêtes web
constitue une autre astuce. ‘ Ce sont soit des adresses de sites pornographiques, soit des adresses pour lesquelles le DNS est mal renseigné, donc suspectes ‘, justifie Olivier Caleff.
L’authentification auprès du proxy doit devenir la règle ; cela responsabilise les utilisateurs.Une fois cette politique de sécurité déployée, le contrôle de son intégrité passe par des précautions simples. Bloquer les accès aux clés de registre empêche que de nouvelles applications installées sur les postes de travail viennent
ajouter de nouvelles failles (messageries instantanées, clients peer-to-peer en tête). En matière de sécurité, les bonnes recettes fonctionnant toujours, on complétera ce verrouillage par un outil d’inventaire afin de vérifier la conformité des
applications installées avec le parc logiciel.(*)
‘ Secrets et mensonges Sécurité numérique dans un monde en réseau ‘, Bruce Schneier, Vuibert Informatique, 2001.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
