Robert Kneschke - Fotolia
Construire une architecture de sécurité de l’information pas à pas
La préparation à la cybersécurité nécessite une architecture de sécurité robuste. L’expert Peter Sullivan explique quelles briques de base sont essentielles à cela.
Etre préparé à répondre aux incidents de sécurité est un état que chaque entreprise doit s'efforcer d'atteindre. Dans la première partie de cette série sur la préparation à la cybersécurité, un ensemble de sept objectifs fondamentaux a été détaillé. La seconde partie a été consacrée au premier élément de cette liste: le plan de cybersécurité.
Précédemment, l'architecture de sécurité de l'information a été décrite comme une architecture de sécurité permettant de contrôler le réseau supportant les communications locales, étendues et distantes, d’en comprendre le fonctionnement, et d’en assurer la surveillance.
L’architecture est la façon dont les composants d'une chose s’organisent. S’agissant d’un système d'information en réseau, l'objectif est d'organiser et d'exploiter ce système de manière à pouvoir le contrôler le système et à détecter des activités inattendues, indésirables et malveillantes.
Passerelle sécurisée
Si le trafic qui s’écoule dans, hors et au travers d’un réseau ne peut pas être vu, il ne peut pas être surveillé. Pour éviter cela, le trafic doit traverser un environnement de passerelle maîtrisé. Les grandes entreprises peuvent ne pas avoir une bonne gestion du nombre de points d'accès à Internet utilisés. La direction générale fédérale américaine a par exemple identifié plus de 8 000 connexions à Internet parmi ses différentes agences - dont la plupart n'ont pas été surveillées par un centre opérationnel réseau ou sécurité. Ce qui représente une vulnérabilité majeure pour le l’administration américaine. La situation idéale est d'avoir une seule passerelle pour concentrer et surveiller le trafic.
La passerelle Internet sécurisée devrait fournir les services suivants :
- Pare-feu pour fournir inspection des paquets et contrôle d’accès ;
- Système de détection/prévention d'intrusion (IDS/IPS) ;
- Service proxy applicatif pour les protocoles http/https, smtp, ftp, etc. ;
- Filtrage du spam ;
- Filtrage antivirus et logiciels malveillant ;
- et Analyse du trafic réseau.
Pare-feu
Si recommander l'utilisation d'un pare-feu peut paraître dépassé et trop évident, rappelez-vous ceci : le Sony PlayStation Network et les services de jeux en ligne Sony Online Entertainment ont été compromis en 2011, perdant les données personnelles de plus de 100 millions d’utilisateurs. Les réseaux affectés n'étaient pas protégés par des pare-feux.
Du point de vue de l'architecture de la sécurité de l'information, un pare-feu peut être considéré comme un périphérique qui assure l’implémentation de la politique de sécurité, et en particulier la politique d'accès. La présupposition est qu'une politique de contrôle d’accès périmétrique - si c'est là qu’est placé le pare-feu - a été définie et documentée. Sans une politique de contrôle d'accès définie qui sert de guide pour la configuration du pare-feu, l'implémentation du pare-feu risque de ne pas fournir le niveau de service de sécurité requis par l'organisation.
Détection et prévention des intrusions
Disposer d’un IDS ou d’un IPS est essentiel dans une architecture de passerelle sécurisée. Généralement, l’IDS/IPS s’appuie sur une base de données de signatures pour détecter les intrusions potentielles ou les violations de la politique de sécurité, comme l'utilisation de protocoles non autorisés. La base de données de signatures dans un IDS est comparable à celle utilisée dans un système de détection de virus, notamment en cela qu’il ne produira aucune alerte pour une signature d’intrusion absente de sa base de données. Celle-ci doit donc être mise à jour régulièrement, tout comme avec un système de détection de logiciels malveillants.
A chaque service, son proxy
Tous les protocoles applicatifs qui traversent la passerelle doivent passer par un service de proxy bidirectionnel complet afin d’être surveillés efficacement. Cela commence par le courrier électronique (smtp, imap, pop) et les protocoles Web (http, https). La majorité du trafic réseau devrait être couverte. Une analyse de bande passante permettra d’identifier d'autres protocoles applicatifs utilisés dans l’organisation, tels que ftp et ssh. Faire transiter ces protocoles via un service proxy bidirectionnel complet fournira une visibilité supplémentaire et la possibilité de surveiller les informations et les fichiers entrant et sortant du réseau. Ces services proxy incluent :
- Proxy de messagerie
Les appliances proxy de messagerie peuvent filtrer le spam, effectuer des recherches de virus et contrôler les pièces jointes et les liens HTML. Le contenu actif et le code mobile peuvent également être filtrés par un service proxy. Le courrier électronique peut également être analysé dans une perspective de prévention des fuites de données.
- Proxy Web
Un service de proxy Web devrait fournir un filtrage bidirectionnel pour les protocoles http et https en fonction de l'adresse IP et/ou de l’URL, y compris le filtrage des liens et du code actif intégrés dans les pages Web. Le filtrage de contenu et de mots clés devrait également être utilisé dans le cadre d'un service proxy Web. L'accès à un courrier électronique externe via une interface Web - une option de choix pour l'exfiltration de données - peut être surveillé ou bloqué.
Antivirus, antimalware et blocage de spam
Si elle n'est pas fournie ailleurs, dans le cadre d'un serveur proxy par exemple, la détection des virus et des logiciels malveillants, et le blocage des courriers indésirables, doivent être fournis dans la passerelle sécurisée. Bien qu'il soit possible d'effectuer une analyse antivirus et un blocage des courriers indésirables sur les postes de travail, identifier ces menaces aussi tôt que possible avant leur entrée dans l’environnement de confiance est préférable.
Analyse du trafic réseau
L'analyse du trafic du réseau informatique repose sur la collecte et l'analyse des flux IP. Cette analyse est extrêmement utile pour comprendre le comportement du réseau : l'adresse source permet de comprendre qui produit le trafic ; l'adresse de destination indique qui reçoit le trafic ; les ports donnent des indications sur l'application liée au trafic ; la classe de service examine la priorité du trafic, etc.
À l'aide de ces informations, il est possible de déterminer des profils comportementaux qu’il sera possible de considérer comme normaux, pour ensuite identifier les comportements inattendus ou indésirables, y compris les comportements malveillants. Par exemple, si un utilisateur commence à transférer de grandes quantités de données par courrier électronique vers l’extérieur l'entreprise, il serait possible de détecter ce comportement avec l'analyse du trafic réseau.