e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message



Accédez au menu
Contactez-nous

Les nouvelles bases de la sécurité

Retour aux articles

Les nouvelles bases de la sécurité


Catégorie : Articles

Date de publication : 7 octobre 2019 - Dernière mise à jour : 7 octobre 2019

Rédacteur : Bruno De Sousa


Le principe même de la sécurité informatique repose sur 3 piliers regroupés sous l’acronyme CID ou - sans mauvais jeu de mots - CIA en anglais. Confidentialité, intégrité et/ou disponibilité sont, depuis toujours, les principaux objectifs de tout projet de sécurité informatique. Au fur et à mesure que le domaine gagnait en maturité, les concepts de non-répudiation et d’authentification sont également venus s’y ajouter.

Il convient dans un premier temps de clarifier ce que l’on entend par ces termes.

Confidentialité : l’objectif est de rendre l’information ou la communication inintelligible à toute personne ou système externe à celle-ci. Seules les personnes autorisées doivent être en mesure de lire le contenu des données ou de participer à la communication réseau concernée. Un exemple concret est le chiffrement d’un fichier stocké sur un système de fichiers. Seules les personnes possédant la clé privée, permettant le déchiffrement, pourront accéder au contenu du fichier.

Intégrité : l'intégrité des données consiste à s’assurer que les données ne soient pas altérées durant la communication, que cela soit fait intentionnellement ou non. Le principe de la signature des emails à l’aide d’un certificat représente bien ce principe. Si un mail a été altéré après avoir été signé, le destinataire de celui-ci verra une alerte s’afficher lorsqu’il l’ouvrira dans son client de messagerie.

Disponibilité : l’objectif est de garantir l’accès à un service, à une application, au réseau ou à une donnée et que cela soit possible en tout temps, afin de garantir le bon fonctionnement du système d’information. On retrouve ici les principes de sauvegarde, de haute disponibilité etde mise en place d’un plan de continuité (BCP ou DRP en anglais).

Non-répudiation : la non-répudiation a pour objectif de s’assurer que l’émetteur d’une information ne puisse pas nier qu’il est bien à l’origine de celle-ci. Un exemple très concret est la signature d’un email, d’un document ou d’un certificat. Seule la personne possédant la clé privée correspondant à la signature, déposée sur un email, serait en mesure d’émettre cet email signé. Il ne lui est donc pas possible de nier en être l’émetteur, sauf dans le cas où il aurait partagé cette clé privée (censée être personnelle) à un tiers.

Authentification : l’authentification consiste à s’assurer que seules les personnes dûment autorisées aient accès aux données et/ou aux ressources souhaitées. Le but étant d’identifier de manière unique et sans équivoque qu’un individu est bien celui qu’il prétend être. Nous retrouvons ici des concepts d’authentification forte (ou à double facteur), de biométrie et de PKI.

La non-répudiation (le fait de garantir qu’une transaction ne peut être niée) ainsi que l’authentification (les utilisateurs doivent prouver leur identité) viennent donc compléter le concept de CID et il n’est pas rare de voir associé à ces concepts l’objectif de traçabilité.

Basée sur ces critères, chaque entreprise devrait définir des objectifs de sécurité précis et mettre en place les mesures organisationnelles et techniques permettant de garantir la sécurité de son système d’information. Ces concepts sont, à un moment ou un autre, appliqués à l’ensemble des solutions de sécurité mis en place en entreprise.

Mais alors que ceux-ci étaient encore facilement identifiables au début des années 2000, époque où le meilleur moyen de garantir la sécurité des données était de restreindre l’accès physique aux machines, les choses ont, depuis, rapidement évolué avec de nouvelles solutions et de nouveaux concepts, répondant aux besoins actuels.

Avec la digitalisation des entreprises et l’externalisation des données, la demande de pouvoir accéder aux données de l’entreprise, depuis n’importe où et n’importe quand, a explosé. Ces besoins ont notamment fait émerger des nouveaux concepts de mobilité, sujet qui n’était que très rarement mentionné il y a encore une dizaine d’années… et par conséquent de nouveaux risques.

Ces dernières années, une prise de conscience a également eu lieu quant au risque lié aux utilisateurs. Ceux-ci sont maintenant au centre du système d’information. La formation et la sensibilisation des collaborateurs sont devenues une des priorités pour les entreprises. Arnaque au président, clé USB abandonnée dans un parking, ou autre arnaque ciblée font maintenant partie du quotidien…

Malwares

Bien qu’ils soient une brique importante du concept de sécurité informatique, les traditionnels outils de sécurité du poste client, de type antivirus, basés sur des bases de signatures, atteignent rapidement leurs limites. L’arrivée de menaces (virus, malwares, exploits) de type furtif ou polymorphique ont rendu ces derniers outils presque obsolètes. Les entreprises, à la recherche d’une protection maximale, doivent maintenant se tourner vers des solutions endpoint de type NextGen.
Ces dernières générations de solutions utilisent une nouvelle approche dans la détection de code malveillant, en couplant l’analyse heuristique, l’évaluation de la communauté, les bases de signatures ou encore le sandboxing. Cette dernière technologie, basée sur le sandboxing, consiste à faire exécuter dans un environnement cloisonné, de type bac à sable, les fichiers pour lesquels aucune signature antimalware classique n’est disponible et à en analyser le comportement.
Ces solutions sont disponibles sur les postes clients, mais également sur des solutions réseau de type proxy ou passerelle email, permettant ainsi de détecter la menace avant même qu’elle n’atteigne le poste de travail de l’utilisateur.

L’entreprise hors de l’entreprise

Comme si cela ne suffisait pas, le périmètre de l’entreprise devient de plus en plus étendu et sort aisément du contexte maitrisé par les équipes IT. Il ne s’agit donc plus uniquement de protéger l’entreprise du danger extérieur puisque l’entreprise est aujourd’hui, elle-même, en partie à l’extérieur.
Les données sont stockées dans le Cloud, les applications fonctionnent en Saas, les collaborateurs accèdent aux ressources internes de l’entreprise pendant leur déplacement… La complexité découlant de ce nouveau type d’environnement nécessite l’implémentation d’outils de sécurité dédiés à ces nouveaux écosystèmes hybrides.
Les WAF (Web Applications Firewall), les produits de DLP (Contrôle de fuite de données) ou encore les outils de chiffrement, qu’il s’agisse des emails, des fichiers ou encore des flux réseaux, sont typiquement le genre d’outils qu’une entreprise soucieuse de sa sécurité devrait déployer afin de rendre l’information inaccessible, ou le cas échéant inutilisable pour un attaquant.

De nouveaux besoins de mobilité

Une des évolutions de masse des dernières années est le besoin en mobilité des utilisateurs. Force est de constater que les périphériques mobiles font aujourd’hui partie intégrante de la plupart des systèmes d’information. L’entreprise a dû s’adapter et mettre en place des solutions de sécurité afin de maitriser ce nouveau paradigme. Les équipes IT doivent implémenter de outils MDM (Mobile Device Management). Il n’est plus acceptable d’autoriser simplement ses collaborateurs à accéder directement à leurs boîtes emails professionnelles, sans un mécanisme permettant de contrôler et de donner de la visibilité sur l’utilisation qui en est faite.
Les principaux risques identifiés sans le recours à une solution MDM sont la fuite ou la perte d’informations sensibles. On comprend bien que si des informations sensibles voir critiques sur l’entreprise, sur ses clients ou encore sur ses partenaires, se retrouvaient de façon non-sécurisée sur le périphérique d’un collaborateur ou sur des espaces de stockage externe, qu’ils soient physiques ou sur des services cloud, cela pourrait directement porter atteinte à l’entreprise.
La mise en place de solutions MDM, souvent couplées à des solutions de DLP est devenu un « de facto standard ».

Régulation

Avec l’entrée en vigueur le 25 mai 2018 du RGPD, de nouvelles contraintes sont venues s’imposer aux entreprises. Celles-ci sont forcées, sous peine d’amendes faramineuses, de revoir les moyens mis en place pour assurer la protection des données collectées ou générées par les entreprises.
Certaines en ont déjà fait les frais : British Airways £183.4M, Marriott £99.4M, La Liga €250.000, ne sont qu’un extrait des sociétés amendées à ce jour. La liste est longue, et ce n’est que le début… Non seulement les sociétés doivent aujourd’hui mettre en place les moyens nécessaires afin d’être conformes, mais également afin de protéger leur image de marque.
Pas un jour ne s’écoule sans que l’on lise que telle ou telle entreprise a été victime d’une attaque ou de vol de données. De la PME à la multinationale, personne n’est à l’abri.

Visibilité

La visibilité sur l’ensemble des technologies présentes dans les systèmes d’information pour détecter les menaces est nécessaire voire primordiale, que ce soit à l’aide d’une équipe dédiée de type Security Operations Center (SOC) et/ou via des solutions exploitées en interne dans l’entreprise.
L’article technique du mois présente en détail les possibilités offertes par la solution de l’éditeur Splunk offrant une vue à 360 degrés sur les événements qui surviennent dans votre système d’information.

Abonnez-vous
à nos newsletters