Avis d’expert sécurité : Le périmètre ne meurt jamais, il s’adapte

Comment et pourquoi les méthodes de sécurité doivent s’adapter à l’évolution du Net. Un avis d’expert signé Laurent Hausermann, d’Arkoon Network Security.

Les attaquants d’Anonymous n’ont pas eu à faire beaucoup d’efforts : depuis la machine exposée sur Internet toutes les autres machines de l’entreprise étaient joignables. Pire encore, un compte SSH non protégé – aucun mot de passe – permettait de s’y connecter. Il n’y avait aucune DMZ dans l’entreprise, juste un seul et même réseau « à plat ». Les serveurs n’étaient bien entendu pas à jour et s’y mélangeaient des services internes (avec du code source de programmes) et des applications web externes.

À la lecture du début du journal, on peut supposer que l’attaque initiale a été menée via un site web, et que là encore le serveur d’application n’était ni à jour, ni protégé par un mécanisme de protection ad hoc de type conformité protocolaire ou IPS. Par conséquent, une attaque de type injection SQL est probable.

Les architectures modernes ou l’impérieuse nécessité de démultiplier les zones de sécurité

Cette attaque aurait pu être évitée grâce à des mécanismes et des process de sécurité appropriés. Mais surtout, son impact aurait été moindre si l’architecture mise en place avait été mieux pensée : une plus grande segmentation aurait réduit les vols d’information et les conséquences désastreuses sur le business de l’entreprise.

Rappelons qu’une sécurité réseau sans mécanisme de sécurité périmétrique est utopique. La porte d’entrée du réseau doit rester un point de contrôle fort et assurer une étanchéité nette : protection des données et des topologiques des réseaux, filtrage des protocoles et des couches réseaux, établissement de tunnels sécurisés, un premier niveau de filtre antimalware. Ainsi, le concept de défense en profondeur continuera-t-il de s’appliquer.

Plutôt que de disparaitre, la notion de périmètre doit se généraliser et se multiplier. Il devrait y avoir plusieurs périmètres, plusieurs sas entre les zones du réseau de l’entreprise. Une zone regroupe des machines, des données et des utilisateurs d’un même niveau de sensibilité. Par exemple, dans une entreprise de biotechnologies, naturellement attachée à sa propriété intellectuelle, son département R&D et ses données de recherche, son département commercial et sa base client, constituent deux zones. Les secteurs les plus sensibles pourraient vouloir créer des zones pour les serveurs d’applications d’une part, et pour les utilisateurs d’autre part. D’un point de vue technique, une zone peut être une interface Ethernet ou un VLAN.

Une fois les niveaux de risques contingentés dans des zones dans l’architecture des réseaux, il devient possible entre chacune d’appliquer une politique de sécurité stricte. Au-delà du simple firewall TCP/IP Stateful, il s’agira de garantir :

– l’application politique de sécurité basée sur des éléments techniques (zones, IP source/destination) ;

– l’authentification forte des utilisateurs, afin de réaliser une politique basée sur l’identité, et d’assurer une traçabilité à des fins de preuves et d’analyse post mortem ;

Lire aussi : Futur de l’IT : Internet, une planète totalement connectée dès 2030 ?

– le respect des standards et de l’implémentation des protocoles ;

– les attaques et comportements malveillants ;

– l’application employée par l’utilisateur, en gérant complètement les problématiques d’encapsulation et d’obfuscation.

À ce jour, des solutions émergent permettant d’assurer tout ou partie de ces contrôles. Elles manquent aujourd’hui de maturité et d’expérience. Elles ne possèdent aucune évaluation en matière de sécurité (aucune n’a reçu de qualification standard ANSSI par exemple). À titre d’exemple, la détection d’application est une évolution très intéressante, mais qui fait débat. Comment bâtir une politique de sécurité sur un mécanisme qui n’est pas évalué ? Peut-on faire confiance à une « boite noire » dont personne ne peut auditer le fonctionnement ? Quelle est la prédictibilité de ces mécanismes en termes de performance ? Autant de questions qui aujourd’hui demeurent sans réponses.

Les architectures et leurs composants doivent évoluer pour faire face à l’évolution des usages, des réseaux et des attaquants. Il est d’ores et déjà possible d’introduire plus de contrôle et de sécurité avec les outils actuels et de garantir une certaine étanchéité. Mais il reste un vaste champ d’innovation et de recherche afin de rester en avance face à la menace.

Près de vingt-cinq ans après leur invention, les systèmes de protection des réseaux doivent poursuivre leurs évolutions et suivre le rythme exponentiel de l’Internet.

Lire aussi : Télégrammes : 9 Français sur 10 internautes, Keyyo s’ouvre à Internet, Imgur piraté