Stratégie Cybersécurité – axe 1 : la technologie
Une bonne stratégie pour sécuriser un Système d’Information passe par 3 axes : la technologie, l’éducation et la normalisation.
Cet article aborde le 1er axe : la sécurité par la technologie.
Rappelons d’abord que la sécurité d’un Système d’Information se définit selon 3 items :
- La disponibilité: l’information est accessible et utilisable,
- La confidentialité: l’information est accessible à des personnes ou entités ou processus autorisés,
- L’intégrité: l’information est exacte et exhaustive.
Ainsi, quelles solutions techniques permettent de couvrir ces exigences de disponibilité, de confidentialité et d’intégrité de l’information ?
Garantir que l’information est accessible et utilisable
La disponibilité de l’information est d’abord assurée par un bon fonctionnement des équipements d’infrastructure et de sécurité (réseau, serveurs, stockage notamment). Mais en cas de panne d’un équipement, elle est alors assurée par un PCA (Plan de Continuité d’Activité) ou un PRA (Plan de Reprise d’Activité) et par la sauvegarde.
Un PCA permet d’assurer la continuité d’activité en cas de problème sur le SI, comme une panne majeure par exemple. Le terme continuité signifie ici qu’il n’y a pas d’arrêt du service ni de perte de données.
Un PCA est bâti avec des équipements fonctionnant en cluster, pour assurer une résilience en cas de panne d’un de ces équipements. Ce type de fonctionnement permet de répliquer ou de dupliquer les données en temps réel entre équipements.
En cas de PCA, les équipements sont aussi le plus souvent hébergés sur des sites géographiques distincts pour être résilients au sinistre. Quand on s’appuie sur un hébergeur, il est important de se préoccuper de ce point car il peut être optionnel.
Le PRA, quant à lui, permet de redémarrer l’activité rapidement mais avec une perte de données. Dans ce cas, les données sont répliquées de façon discontinues, à fréquence régulière, par exemple 2 fois par jour à la mi-journée et à la fin de journée. Ainsi, dans cet exemple, on peut perdre jusqu’à 4h de données dans le pire des cas.
La sauvegarde régulière des serveurs permet de restaurer les données et les applications en cas de perte totale ou partielle.
Garantir que l’information est accessible aux personnes, entités ou processus autorisés
Les principaux dispositifs qui permettent d’assurer la confidentialité de l’information sont le contrôle d’accès, l’authentification et la protection des donnés.
Les contrôles d’accès concernent d’abord les locaux qui hébergent les équipements d’infrastructure et de sécurité avec des badges, serrures, dispositifs biométriques… On peut citer également les processus de gestion des habilitations, des identités ou encore des accès privilégiés. Par exemple, un identifiant avec un privilège « administrateur » sur un serveur de fichiers aura accès à l’ensemble des fichiers, alors qu’un identifiant avec un privilège « utilisateur » aura accès uniquement aux dossiers auxquels il est autorisé d’accéder.
L’authentification (« je prouve être celui que je prétends être ») concerne naturellement les personnes, mais aussi les équipements.
Concernant les personnes, il existe 3 modes d’authentification :
- Ce que je connais (ex : mot de passe),
- Ce que je possède (ex : jeton, carte à puce, certificat),
- Ce que je suis (caractéristiques physiques ou biométriques).
Concernant les équipements, un certificat permet à un équipement de s’authentifier, comme un certificat utilisateur permettrait à une personne de s’authentifier. Il permet de s’assurer que l’on est bien connecté à l’équipement voulu et pas sur celui d’un pirate, qui cherche à nous leurrer pour récupérer nos identifiants et mots de passe.
Parmi les dispositifs de protection des données pour assurer la confidentialité, on peut citer les modes de connexions aux équipements (VPN, chiffrement des communications), le chiffrement des données elles-mêmes, la destruction physique des équipements ou la mise au rebut, le cloisonnement des réseaux. Dans ce dernier cas par exemple, une collectivité pourrait ouvrir un wifi public pour sortir sur Internet, mais sans permettre l’accès aux serveurs du réseau interne.
Garantir que l’information est exacte et exhaustive
Pour répondre à cette exigence, il faut protèger les données elles-mêmes, les équipements qui les hébergent ou les véhiculent et les applications qui les traitent.
Concernant les données elles-mêmes, on peut citer les antivirus, les antimalwares, le chiffrement et les fonctions de hachage. Cette dernière est par exemple utilisée pour accéder à un serveur web protégé par un certificat (https). Cela garantit que les données ne sont pas altérées lors des échanges entre le serveur et le navigateur.
Concernant les équipements, les mécanismes les plus courants sont les outils de surveillance comme les fichiers journaux, les outils de supervision, les sondes …
Concernant les applications, on peut citer les pare-feux réseau, les pare-feux applicatif, la journalisation des modifications ainsi que les fichiers journaux.
En conclusion
Il existe un panel important de techniques et d’outils permettant d’assurer la sécurité d’un SI, que ce soit pour garantir la disponibilité, la confidentialité ou l’intégrité de l’information.
Mais si cela est nécessaire, ce n’est malheureusement pas suffisant. En effet, sans une sensibilisation aux risques des personnes qui utilisent le SI, la technologie n’est pas d’une grande utilité.
Notre prochain article aborde ainsi la sécurisation du SI par l’éducation.
Stratégie Cybersécurité - axe 2 : l'éducation
Aborder la sécurité du Système d’Information par l’éducation, c’est bien sûr former les personnels mais aussi assurer de la veille et des audits de sécurité.
Stratégie Cybersécurité - axe 3 : la normalisation
Pour que la stratégie de sécurisation d’un SI soit optimale, il faut également connaître les normes, les règlementations, les préconisations et le cadre légal dans lequel s’inscrit la cybersécurité.
