Etapes clés d'une analyse réussie des carences en sécurité informatique
Vous avez besoin d'évaluer les carences du réseau de votre entreprise ? Découvrez en quoi une analyse des carences en sécurité informatique contribue à lever le voile sur d'éventuelles faiblesses de la sécurité réseau.
Appliquer une analyse des carences en sécurité informatique à un réseau d'entreprise est un exercice extrêmement bénéfique. Il est toutefois rarement réalisé dans les règles de l'art. Pour qu’il soit utile, il faut d’abord que l’entreprise en comprenne la finalité. Une analyse des carences réseau consiste à examiner un réseau selon une norme éprouvée afin de déterminer les aspects qui doivent être améliorés. L'analyse met alors en lumière les aspects du réseau qui doivent faire l'objet d'une attention plus importante sur le plan de la sécurité.
Faute d’être passées régulièrement en revue, les politiques de sécurité réseau sont absolument inutiles.
Une entreprise doit recourir à l'analyse des carences de sécurité réseau pour identifier certains manques sur ses réseaux, et pour mettre en lumière les aspects qui requièrent une attention particulière. Que l'équipe de sécurité connaisse déjà ou non les carences identifiées, le processus n'en constitue pas moins parallèlement une occasion de déterminer et de corriger des problèmes de sécurité qui réclament un travail minime, et de faire remonter à la direction de manière formelle des problèmes plus complexes et plus manifestes.
Lorsqu'elle applique une analyse des carences à un réseau, une entreprise a besoin de mesures de référence - ou « benchmark » -auxquelles comparer son environnement. Il s'agit normalement d'une ou plusieurs normes ou réglementations adaptées à l'entreprise ou à son secteur industriel. Aujourd'hui, de nombreuses structures de référence de ce type sont disponibles ; certaines sont contraignantes, comme la norme PCI DSS (Payment Card Industry Data Security Standard), tandis que d'autres constituent des exemples parfaitement viables de l'application de normes et de pratiques métier optimales. C'est le cas notamment du National Institute of Standards and Technology (NIST). Peu d'entreprises sont parfaitement conformes à une norme, quelle qu'elle soit.
Les carences que dévoile l'analyse doivent servir à identifier les aspects à traiter ainsi que les emplacements sur lesquels se concentrer par la suite. Si la structure de référence retenue ne couvre pas tous les aspects souhaités, l'entreprise peut combiner les éléments de différentes normes pour constituer le benchmark initial. Selon votre secteur industriel et votre environnement, il peut se révéler difficile d'identifier la structure qui répondra parfaitement à tous vos besoins. Utiliser une norme donnée comme benchmark, accompagnée d'autres éléments de contrôle provenant d'autres mesures de référence est parfaitement normal. Les administrateurs doivent faire preuve de discernement quant à ce qu'ils intègrent à leur analyse.
De nombreuses structures de référence se révéleront viables, mais c'est à vous de décider de la forme finale de la structure. Le point de départ est « dicté », mais l'entreprise doit choisir ses moyens de contrôle en fonction de ses propres critères et objectifs métier. Et si les choses ne sont pas gravées dans le marbre, vous devez toutefois vous efforcer de finaliser au mieux votre structure de référence avant de commencer votre analyse.
Une analyse des carences peut se décomposer en quatre phases principales : politique et procédure ; audit ; examen technique ; et conclusions/synthèse des priorités. Chacune de ces quatre phases est examinée ci-dessous.
Analyse des carences de sécurité informatique - Étape 1 : Politique et procédure
Au cours de cette phase initiale, l'entreprise doit examiner tous les documents papier et électroniques qui s'appliquent au réseau conformément à sa politique de sécurité réseau. Le pire cas reste celui de politiques figées et consignées sur un partage de fichiers réseau, qui ne sont plus ni mises en œuvre ni passées en revue. Éliminez ce qui est ancien et superflus, mettez à jour les éléments en vigueur et ajoutez de nouvelles politiques sous forme écrite. Si les politiques de sécurité réseau ne sont pas passées régulièrement en revue, elles sont absolument inutiles. Les changements apportés aux pare-feux de votre réseau en sont un exemple criant. Quelle est votre politique en situation de changement ? Qui peut approuver la modification d'un pare-feu et l'appliquer sur votre réseau ? Les équipes métier doivent être informées de la politique qui régit les changements, la direction doit comprendre le processus d'approbation et les administrateurs doivent disposer de procédures opérationnelles standard pour mener à bien ces changements de manière appropriée.
Analyse des carences de sécurité informatique - Étape 2 : Audit
L'audit constitue la deuxième phase de l'analyse des carences. Il implique le passage en revue de la structure de référence retenue, et de toute procédure ou politique mise à jour. L'audit vérifie parallèlement que l'entreprise se conforme bien à sa propre politique en appliquant les normes de la structure de référence. L'analyse n'est pas seulement technique ; elle est aussi humaine. Les ingénieurs doivent par exemple connaître les politiques à suivre lorsqu'ils procèdent à la modification d'un pare-feu. Ils doivent saisir les tickets de gestion de changements adaptés et les faire examiner.
Ainsi, lors de l'audit de ports ouverts sur un pare-feu, une entreprise doit pouvoir visualiser pour chacun d'eux tous les tickets de contrôle des changements pertinents. En cas de brèche dans un pare-feu, en l'absence de contrôle des changements, une carence d'ordre à la fois technique et procédural doit être comblée. La structure de référence sélectionnée contribue à déterminer quels ports doivent être ouverts. Par ailleurs, en auditant le réseau à l'aide de la structure de référence, une entreprise peut conclure à une carence à combler. Pour continuer avec l'exemple du pare-feu, si le port 3389 y a été ouvert au trafic entrant, déterminez d'abord où sont intervenus les contrôles des changements appropriés pour cette modification. Cette approche facilite l'audit de la procédure. Ensuite, poussez cette étape un peu plus avant en utilisant la structure de référence retenue, et déterminez si le fait que ce port soit ouvert au trafic entrant constitue une brèche dans la sécurité et va à l'encontre des normes de l'entreprise. Vous faites ainsi le lien entre l'audit de la procédure des politiques et la structure de référence.
Analyse des carences de sécurité informatique - Étape 3 : Examen technique
La troisième phase de l'analyse des carences consiste en l'examen technique du réseau. Cette phase est étroitement liée à la phase d'audit, mais s'appuie davantage sur la structure de référence que sur la politique et la procédure. Dans la phase d'audit, l'entreprise applique la structure de référence à une politique et une procédure afin de s'assurer qu'elles sont bien conformes aux nouvelles normes. Dans la phase d'examen technique, l'entreprise vérifie que son infrastructure technique est à jour par rapport à la structure de référence et passe en revue la sécurité de ses systèmes à un niveau granulaire. Appliquez la structure de référence au réseau afin de déterminer si ce dernier est conforme aux normes. Si la structure de référence spécifie, par exemple, qu'un système de prévention des intrusions (IPS) est installé avec un filtrage en sortie au niveau du pare-feu, l'entreprise devra vérifier que cette installation est conforme. Dans la négative, l'entreprise devra mettre en place une technologie qui comble cette lacune sur son réseau.
Cette approche permet de vérifier que les contrôles techniques appropriés sont bien en place. Elle fonctionnera au bout du compte de concert avec l'audit, mais devra d’abord être établie en phase avec la structure de référence. Posez-vous les questions suivantes : les serveurs de l'entreprise disposent-ils tous d'un antivirus ? L'entreprise dispose-t-elle d'une gestion des vulnérabilités ? Ses bases de données utilisent-elles un cryptage ? Ce ne sont là que quelques exemples des contrôles dont une structure de référence dispose pour effectuer des comparaisons. L'entreprise clarifie ainsi sa situation et peut la comparer aux normes actuelles.
Analyse des carences de sécurité informatique - Étape 4 : Conclusions et synthèse des priorités
Enfin, en quatrième phase viennent l'examen des conclusions et l'attribution de rangs de priorité aux nouvelles tâches. Dans cette phase, une entreprise passe en revue les conclusions des autres phases, évalue ce qui a été identifié et organise des tâches destinées à combler les carences. Ce processus comprend des réunions avec les responsables et des entrevues avec toute personne requise pour obtenir davantage d'informations. Il comprend également le traitement des carences en matière de politique et de procédure, ainsi que l'examen des correctifs possibles nécessaires immédiatement, et de ce qu'il faut mettre en place techniquement pour se conformer au benchmark actuel.
Une gestion adéquate des priorités doit également intervenir dans chacune de ces phases. Pour combler les carences, ces aspects doivent être examinés et résolus. Enfin, l’analyse des carences doit être appliquée à toute entreprise de manière régulière afin de s'assurer que cette dernière ne reprend pas de mauvaises habitudes. Une liste doit répertorier et tenir à jour les aspects à améliorer. Cette liste peut être compilée par l'équipe d'audit à la faveur d'audits ponctuels menés entre les analyses de carences planifiées. Lorsque des exceptions sont identifiées, l'aspect spécifique de la structure de référence doit être passé en revue. L'objectif consiste à obtenir une adhésion homogène à ladite structure, et non un nettoyage annuel. Lorsque ces problèmes sont identifiés, ils doivent être immédiatement corrigés ou portés à l'attention des cadres supérieurs.
Conclusion
Rappelez-vous qu'une analyse des carences en sécurité réseau n'est pas une tâche facile et que la conformité d'une entreprise aux normes de la structure de référence retenue peut prendre du temps. À la faveur de cette analyse, une entreprise peut faire des découvertes assez déplaisantes, mais c'est bien là le propos de l'exercice. L'objectif à terme consiste à protéger l'entreprise de ceux qui intentent à son intégrité, ce qui signifie qu'il faut identifier les problèmes avant son ennemi.