Sécurité des réseaux et des SI - Orange Business Services

Je dois vous le dire tout de suite, je n'ai jamais rien compris à la mode. Tout est tellement volatile, changeant. Je prends un exemple au hasard, tenez le chiffrement. Dans le monde occidental, jusqu'à peu de temps, il se portait très court 128 bits, voire pas du tout. Puis d'un seul coup, la mode a changé, et il se porte de plus en plus long. Bizarre, non ? Heureusement, certains pays ne sont pas si futiles, et pour eux la mode n'a pas changé, il se porte toujours ultra court, et il est même malséant d'en porter, prenez exemple des pays orientaux.

Nous finisons par les phases CHECK et ACT

La partie Check est utilisée pour collecter des informations sur « l'état de santé sécurité » des biens sensibles (services et équipements sécurité déployés par exemple).

Les exigences retenues pour notre modèle d'organisation sont :

• Réalisation des contrôles internes,
• Gestion des audits,
• Mise en place des comités de suivi.

Ici aussi cette phase est déclinée de manière récurrente en Plan Do Check et Act. Ainsi pour la gestion des audits la déclinaison PDCA est la suivante :

• Plan : Définition du périmètre d'audit (avec possibilité d'audit interne ou externe),
• Do : réalisation technique de l'audit,
• Check : restitution et définition du plan d'action,
• Act : mise en place du plan de correction.

Enfin la phase Act permet la mise en place d'une vision opérationnelle. Les exigences retenues pour notre modèle d'organisation sont :

• Actions de correction,
• Actions d'amélioration.

Cette phase Act n'est pas déclinée de manière récurrente en Plan Do Check et Act. Par contre elle est directement alimentée par des actions des phases précédentes. Ainsi la gestion des corrections est approvisionnée entre autre par :

• Les contrôles internes

• Suivi du durcissement des systèmes et équipements réseau

• Les audits
• Interne ou externe et après analyse de risque
• La veille sécurité

Après analyse de risque sur l'impact du système cible

En conclusion ,l'établissement d'un modèle formel d'organisation de la sécurité basé sur la norme ISO 27001-2005 nous permet au final de résoudre le problème de complexité de construction d'une telle organisation.

articles liés :

• modèle d'organisation de la sécurité 3
• modèle d'organisation de la sécurité 2
• modèle d'organisation de la sécurité 1

Les virus et autres microbes ont des millions d'années d'expériences sur ce sujet (quel CV !!), et on ne peut pas les prendre en défaut sur le sujet. En effet, cela fait bien longtemps qu'ils savent que pour mieux attaquer un système donné, il vaut mieux être à l'intérieur. Il en est de même pour la sécurité d'une entreprise, la menace vient souvent de l'intérieur.

Il est parfois difficile de trouver un bon sujet d'article, je peux y passer des heures. Je pensais en voir trouvé un excellent, le sujet était « La vie des chiens chez les Inuits ». Mais on m'a dit, que le sujet était un peu trop polémique, et pas assez fédérateur. Qu'à cela ne tienne, un nouveau brainstorming avec moi-même. Puis... Bon dieu, mais c'est bien sûr...
L'Idée, le Sujet sans qui la sécurité informatique ne serait pas vraiment ce qu'elle est. LA vulnérabilité, LA faille... en deux mots, Buffer Overflow (ou dans la langue de Victor Hugo, le dépassement de tampon). « Bue feur oh vert flot, kezako ? ». Pas d'insultes, s'il vous plait... Ce n'est pas un bon sujet ? Tout logiciel passé ou à venir aura au moins une vulnérabilité de type buffer overflow, ceci est un axiome qui peut même se démontrer (c'est dire) vu la complexité grandissante des logiciels. Ceci est la conséquence directe de la non validation de la longueurs des tampons mémoires ou de la non vérification des données copiées dans ce tampon.

Un exemple simple
Char buf [100] ;
...
Buf [101] = 'dommage' ;

Dans ce cas, tout à fait correct pour le compilateur d'un point de vue syntaxe, on crée un débordement sur... on ne sait pas, une partie de la mémoire, qui peut entrainer un plantage du programme, et une possibilité (ceci est à définir) de prendre le contrôle de la machine entière. Pourtant, ce type d'erreur pourrait être aisée à annihiler, il est « facile » de contrôler les variables, il suffit d'avoir les bonnes pratiques de programmation. Plus « facile » à dire qu'à faire à en croire la pratique et la réalité.

Afin de mieux comprendre pourquoi ce dépassement peut être un problème, il faut se rappeler comment un système d'exploitation gère sa mémoire. Chaque programme a besoin de mémoire pour fonctionner, et en gros la mémoire est divisé en trois parties :

• La mémoire fixée pour le programme qui contient le code lui-même, des données statiques
• La file (heap) qui est utilisée pour stocker les données dynamiques
• La pile utilisée pour passer des variables aux fonctions ou à d'autres programmes

Seulement voilà les deux dernières parties sont gérées dynamiquement, la file s'étend en commençant par les adresses basses, la pile fait exactement le contraire. Et ce qui peut arriver arrive, si l'on passe un argument trop gros à la pile, il sera traité, et ira donc dans la file, et débordera sur la mémoire allouée à la pile, dans ce cas, le pointeur de pile est modifié, donc l'adresse de retour est modifiée, donc fini le programme... L'attaque la plus simple se rapproche donc d'un deni de service du programme. Mais elle peut être plus ambitieuse, on peut positionner dans la pile une adresse de retour correspondant au petit programme malicieux qui permettra de prendre le contrôle. Je ne m'appesantirai pas sur la façon de faire, il existe sur Internet une littérature abondante sur ce sujet, par exemple « Smash the Stack for Fun and Profit que vous trouverez sur http://www.phrack.org) .

Il existe bien des méthodes à postériori pour essayer d'éviter cette plaie, comme des audits de code par exemple, ou une meilleure protection des systèmes grâce à des HIPS. Mais, il faut le répéter ce ne seront que des rustines, la seule méthode fiable est de sensibiliser à la sécurité les programmeurs, c'est-à-dire à l'amont de tout projet de développement. Afin qu'ils puissent contrôler tous les types d'entrée de variables du programme (soit par saisie directe, soit par passage de paramètre à la pile).

Description du modéle phase PLAN et DO

Le contenu de la phase PLAN est utilisé pour définir une vision stratégique des éléments de sécurité à déployer sur les biens sensibles d'une entreprise.

Les exigences retenues pour notre modèle d'organisation sont :

• Gestion des politiques de sécurité,
• Mise en place des analyses de risques.

Formellement ces exigences peuvent être sous la responsabilité :

• d'une direction de la sécurité,
• d'un RSSI,
• ....

Cette phase Plan est décliné de manière récurent en Plan Do Check et Act.

Ainsi pour la gestion des politiques sécurités la déclinaison PDCA est la suivante :

• Plan : Définition de l'ensemble des politiques à rédiger,
• Do : rédaction des dite politiques,
• Check : validation par l'ensemble des acteurs sécurité (y compris les opérationnel),
• Act : correction et amélioration des politiques.

Passons à la phase Do qui permet de définir une vision tactique des éléments de sécurité à déployer.

Les exigences retenues pour notre modèle d'organisation sont :

• Mise en place de tableau de bord sécurité
• Détection des incidents
• Mise en place de campagne de sensibilisation

Comme pour la phase Plan la phase Do est décliné de manière récurent en Plan Do Check et Act.

Ainsi pour la détection des incidents de sécurité la déclinaison PDCA est la suivante :

• Plan : Définition du périmètre mis en supervision,
• Do : mise en œuvre technique,
• Check : activité de supervision en tant que tel,
• Act : ajustement du périmètre à superviser.

Phase CHECK et ACT prochainement


articles liés :

• modèle d'organisation de la sécurité 2
• modèle d'organisation de la sécurité 1

Il n'est plus besoin de convaincre que le cloud computing est un sujet d'actualité (annonces fournisseurs, conférence RSA 2009...). Je lisais hier encore l'annonce d'un groupe industriel du domaine de la conception/fabrication de composants pour l'industrie automobile en la matière : "les 30 000 salariés connectés à Internet du Groupe ont désormais accès à une nouvelle plateforme de travail collaboratif et de communication".
L'adoption du modèle cloud computing par les entreprises renforce ainsi la posture sécurité de l'utilisateur final.

Essentiellement dicté par un besoin grandissant de partage de l'information et d'accélération des échanges, d'augmentation de la productivité et de la flexibilité, la nécessaire ouverture du Système d'Information de l'entreprise est un défi permanent pour les DSI qui se retrouvent alors confrontées à devoir proposer des solutions d'accès distants répondant à la fois aux demandes métiers tout en assurant un niveau de sécurité optimal en adéquation avec le paramètre criticité et les exigences budgétaires.

Exercice pas toujours évident surtout que le risque de transformer la problématique métier en débat d'expert, et d'occulter le principal enjeu qui est de clairement identifier les populations cibles, les situations et les usages associés, est grand.

Pas plus que dans le reste du SI, le BIG BANG n'est possible, on ne peut pas « débrancher » la sécurité en marche...

Par contre , la cible et la trajectoire des investissements peut être repensée : on peut mieux utiliser les budgets, pour faire plus efficace avec un bon pilotage, plus simple avec un renouvellement des techno et plus réaliste en prennant en compte le facteur humain.

Ouf.... (énorme soupir de soulagement), la loi Hadopi est enfin votée. Il était temps.

   Nous avons déjà dit dans l'article Chiffrement total des disques : de nouveaux standards qu'il fallait bien prendre le chiffrement total de disque pour ce qu'il est réellement, à savoir une protection des données contre la perte/le vol du support de stockage. La transparence semble au rendez-vous que ce soit en terme de performance, de charge d'installation/administration, d'interaction avec l'utilisateur (un mot de passe à renseigner au démarrage). Mais aucune solution n'est parfaite comme le souligne le commentaire particulièrement détaillé de Florent, qui met bien en lumière les problèmes liés au chiffrement matériel du disque dur.

Pourquoi peut-on dire que les budgets de la sécurité sont sous la pression ?

Trois facteurs contribuent à mettre la pression sur les couts de la sécurité :

• La crise économique, qui impose une gestion plus serrée des investissements et des couts de fonctionnement.

• Le renforcement des tensions (sociales, concurrentiel voir stratégique) qui exigent une efficacité renforcée de la sécurité en ciblant des points particulièrement sensibles en particuliers les données de l'entreprise (plus que les infrastructures...)

• Les nouveaux comportements (nomadisme, réseaux sociaux, infrastructure ouvertes IP) qui embarquent de nouveaux problèmes à résoudre

Il est donc urgent de mettre en place une stratégie d'optimisation des dépenses de la sécurité, afin de pouvoir faire des choix plus sélectifs et être plus réactif au contexte de l'entreprise.

Les budgets sécurité sont ils si difficiles à cerner que cela ?

En fait, les dépenses sécurités sont complexes à évaluer car elles sont la plupart du temps diluées dans une multitude d'infrastructure et d'organisation (poste de travail, réseaux, data center) et seuls les dépenses apparentes sont identifiées lors de l'acquisition d'équipements ou de logiciel, pour le reste il est très rare de disposer d'un vrai cout de possession de la sécurité.
Le contrôle des couts passe par une démarche en trois temps :

• Inventaire de tous les centres de couts impliqués dans la sécurité, en particulier l'ensemble des prestations humaines directes et indirectes (contractant).
• Identifier les activités qui consomment ces ressources pour assurer des fonctions de sécurité telles que l'ingénierie, la maintenance, la surveillance ou le support.
• Enfin, ces activités produisent des services pour les métiers de l'entreprise, l'idéal sera donc de pouvoir produire des couts sécurité par unité d'œuvre métiers. Par exemple, quel est le coût de la protection d'un brevet ou d'un contact client ou d'un projet.

Pourtant les demarches analytiques existent, parmi elles , l'Activity Based Costing permet de reconsolider les couts d'un produit ou d'un service (comme la sécurité par exemple) afin de produire un coût complet. (TCO).
Ce TCO deviendra le point de dèpart de la reflexion sur l'optimisation de la sécurité.

Sujet lié : Orange fait le point sur la sécurité des entreprises en 2009

Après notre article sur certaines difficultés techniques un peu oubliées liées à la mise en place de la nouvelle loi Création et internet dite Hadopi, et puisque maintenant c'est (presque) fait, la loi étant votée, nous pouvons donc vous dire en exclusivité quel sera le plus danger de cette loi. Loin de nous l'idée de rentrer dans la polémique, ce n'est pas le genre de la maison. Il existe sur Internet à l'heure actuelle pas mal de scénarios de politique fiction sur le futur d'Hadopi. De la loi, nous ne sommes pas devins, nous n'en parlerons pas, par contre de ses conséquences certaines à moyen terme, oui.

Le modèle proposé pour décrire cette organisation est calqué sur les exigences inclues dans la norme ISO 27001-2005.

En reprenant le modèle Plan Do Check et Act de la norme, nous définirons un modèle d'organisation, qui assure la sécurité les biens sensibles d'une entreprise.

La norme ISO 27001-2005 comprend principalement quatre grands chapitres :

• le chapitre 4.1 décrit le contenu de la phase Plan

• nous définirons ici des exigences de type stratégique.

• le chapitre 4.2 décrit le contenu de la phase Do
• ce chapitre sera utilisé pour définir les orientations tactiques.
• le chapitre 4.3 décrit le contenu de la phase Check
• le chapitre 4.3 porte sur des actions de type « renseignement »
• le chapitre 4.4 décrit le contenu de la phase Act
• ce dernier chapitre défini l'axe opérationnel du modèle

L'évolution croissante des menaces internes/externes qui pèsent sur les biens sensibles d'une société (informations, services, équipements,...) nous impose à définir des moyens organisationnels et techniques pour garantir la sécurité de ces biens.

La question qui se pose alors est : comment organiser ces moyens ?

Une réponse possible passe par la définition d'un ensemble de processus qui assure la sécurité de ces biens. Même s'il n'est pas trivial de décrire cet ensemble de processus, il est encore plus complexe d'organiser la cohérence entre eux.

Organiser c'est aussi proposer des « contre- mesures » qui visent à diminuer les risques sur les biens. Une liste possible d'action pourrait être :

• définir l'ensemble des processus qui assure la sécurité des biens,
• définir les rôles (qui fait quoi, quand et comment ?) et responsabilités des équipes en charge de la sécurité des biens,
• assurer une cohérence d'ensemble entre les processus mais aussi entre les acteurs sécurité,
• améliorer les processus définis dans le modèle d'organisation,
• expliquer concrètement aux directions informatiques les risques couverts par cette organisation,
• augmenter la capacité de réactions face aux incidents ou problèmes de sécurité,
• corriger et améliorer la protection des biens.

Nous voyons une nouvelle fois avec cette liste (non exhaustive) la complexité des mesures de sécurité à déployer.

Pour tenter de résoudre cette complexité d'organiser la sécurité au sein d'une entreprise, nous utiliserons « un modèle formel ».

Ce modèle est basé sur une extrapolation des exigences sécurité décrites dans la norme ISO 27001-2005.

A demain pour la description du modèle.

articles liés :
 

Ca y est, à coup de bélier, le texte Hadopi a fini par être adopté. Mais en réalité, faut-il se méfier de la Loi qui en découlera ? On ne sait pas encore comment la détection des pratiques illégales va se faire, mais cela semble très mal parti car la collecte de la preuve est soumise à des règles très stricte, et le fait doit être caractérisé sinon il s'agira d'une pratique abusive...punie par la Loi...

   Vous connaissez tous le syndrome du "il a dit a un ami qui a dit à un ami...", syndrome qui peut avoir des conséquences embarrassantes dans la sphère personnelle. A cause des réseaux sociaux, ces conséquences peuvent être encore plus sérieuses dans la sphère professionnelle.

Parmi l'éventail des attaques pour lesquelles un professionnel sécurité doit trouver protection, les attaques de type DDoS sont assez particulières car elles ont comme caractéristique particulière qu'il est peu aisé de tester le bon fonctionnement d'un mécanisme de réponse

En effet, lors d'une attaque en DDoS, l'attaquant envoie de façon synchronisée un très grand nombre de paquets afin de surcharger les serveurs ou l'accès réseau de la cible.
Outre la capacité de générer des attaques d'un débit suffisamment important (ce qui reste relativement faisable à des fin de test), il est particulièrement difficile de générer ce trafic de façon distribuée depuis plusieurs milliers de sources.

Lors de la mise en place de systèmes de mitigation d'attaques en DDoS, être capable de tester "in-vivo" le système peut être important ... ce afin d'éviter toute déconvenue lorsqu'une attaque bien réelle surviendra.

Avec les virus informatiques, le spam est un phénomène bien connu de tous les utilisateurs d'Internet. Sur les quelques adresses emails que je peux utiliser, je reçois quotidiennement environ vingt messages m'invitant à acheter tel ou tel objet ou a visiter tel ou tel site...

Une adresse email n'ayant pas d'odeur, les spammeurs se font une joie d'inonder les plus grandes plateformes de service de mails utilisées par des millions d'internautes pour leurs communications personnelles que celles utilisées dans le contexte entreprises.

Ce spam « entrant » est bien connu et la motivation est grande d'endiguer ces communications indésirables : Il existe de multiples solutions de filtrage déclinées sous de multiples services et solutions (services de filtrage « in the cloud », boitiers de filtrage dédiés, extensions logiciels pour les serveurs de messagerie ou encore des packages à installer directement sur le poste de travail) : Rares sont les entreprises ne s'étant pas déjà équipées d'une voire plusieurs solutions de ce type.

A contrario du spam « entrant », le spam émis depuis les réseaux d'entreprise souffre d'un déficit de communication chronique. C'est parfois même un sujet quelque peu tabou car mettant en exergue des problèmes de sécurité au cœur même du réseau local des entreprises.

Je ne sais pas si vous avez remarqué l'histoire avec un grand H a fortement tendance à se répéter. A l'heure actuelle, la situation d'Internet me rappelle fortement la conquête de l'Ouest américain. Peut être qu'un jour nos arrières arrières petits enfants se délecteront de films sur la conquête d'Internet au début du 21e siècle.

Pour son webinar et son cercle 1er sécurité, orange a choisit comme sujet : « La sécurité est sous la pression ».

« Dans un premier temps, on observe une pression technologique du fait du vieillissement des technologies et des architectures qui oblige l'entreprise à se remettre en cause pour offrir une meilleure efficacité économique et opérationnelle.

Dans un deuxième temps, la pression économique exige plus d'efficacité et de rigueur dans les investissements sécurité de la part de l'entreprise.

Enfin, l'entreprise vie la pression de son environnement qui s'ouvre à de nouveaux comportements des personnes (nomadisme, usage privé, réseaux sociaux) et de nouvelles organisations (globalisation, coopération, sous-traitance) ainsi que de nouvelles exigences réglementaires. »

La sécurité doit donc se remettre en cause et repenser sa position dans l'entreprise.