SÉCURISATION D'UN SYSTEME INFORMATIQUE (RAPPORT SENAT)

L’architecture pour la sécurisation du système d’information d’une entreprise est conçue à partir d’une ligne de défense périmétrique dont le pare-feu est la pièce maîtresse complétée par des zones d’accès plus ou moins réglementées en fonction de la sensibilité des ressources à protéger.

La mise en oeuvre d’un modèle de défense repose sur une vision tactique qui consiste à élever une ligne de défense et à la protéger des agressions externes.

L’image périmétrique traditionnelle est celle des villes fortifiées dont la sécurité reposait sur des accès contrôlés concentrant les flux entrants et sortants ainsi qu’une surveillance continue en tout point : portes, fenêtres, remparts. Les vigiles sont placés sur des bastions déployés afin qu’ils soient reliés entre eux pour se surveiller et communiquer avec un code commun.

Une zone démilitarisée (Demilitarized Zone – DMZ) forge sa robustesse sur une défense périmétrique liée à l’implantation physique de ses composants. Elle est conçue pour analyser les flux réseaux entrants et sortants sur des canaux indépendants.

Le modèle de sécurité de l’échange numérique applique ces mêmes principes. Au sein d’un système d’information, la ligne de défense est élaborée au travers d’une zone démilitarisée dont l’objectif est de concentrer les flux entrants et sortants du système d’information en un point unique.

Le filtrage de ces flux est concentré en un point dont l’élément technique de base est le pare-feu (firewall).

La pièce maîtresse d’une zone démilitarisée (DMZ) est constituée d’un pare-feu. Entrant par le biais de l’accès WAN (Wide Area Network), chaque paquet fait l’objet d’une analyse fine avant d’être autorisé au transit sur le système. Plus encore, le pare-feu conserve en mémoire plusieurs paquets afin de valider leurs liens éventuellement suspects.

Un pare-feu est utilisé principalement en coupure, en bordure du réseau privé d’entreprises et du réseau public. Il contient un ensemble de règles prédéfinies permettant soit d’autoriser uniquement les communications ayant été explicitement autorisées soit d’empêcher les échanges qui ont été explicitement interdits.

Le choix de l’une ou l’autre de ces méthodes dépend de la politique de sécurité adoptée par l’entité désirant mettre en oeuvre un filtrage des communications. La première méthode est la plus sûre mais elle impose toutefois une définition précise et contraignante des besoins en termes de communication.

Un pare-feu emploie deux types de filtrage : applicatif ou par paquets. Les paquets contiennent des en-têtes : adresse IP source et destination, type de paquet (TCP, UDP, etc.), numéro de port, etc. Lorsqu’une machine externe se connecte à une machine du réseau local, et vice versa, le pare-feu analyse les en-têtes des flux échangés.

Lorsque le filtrage est fondé sur les adresses IP, on parle de filtrage par adresse, tandis que le terme de filtrage par protocole est utilisé lorsque le type de paquets et le port sont analysés. Cette fois, les flux d’application à application sont filtrés au niveau du contenu.

Le pare-feu est un système performant dans la protection du réseau, sous réserve d’une administration quotidienne.

Afin de permettre de déterminer un équilibre entre les besoins d’échanger et l’exposition aux menaces et vulnérabilités, la zone d’interconnexion permet de définir deux types de zones :

– l’une plutôt ouverte aux internautes et potentiellement aux ennemis : les systèmes sont dits « sacrifiables », il s’agit de serveurs accessibles au public comme ceux du e-commerce ou web ou FTP. On y trouve également des données techniques pour le besoin de services comme les DNS et SMTP (Simple Mail Transfer Protocol) ;

– l’autre plutôt ouverte aux partenaires et potentiellement amis, hébergeant également des données communes et propres aux zones publiques et privées comme les certificats ou les serveurs d’authentification.

La première étape sera d’effectuer un cloisonnement entre privé et public à chaque niveau : câblage, réseau, applicatif. À des fins de surveillance, des sondes seront déployées sur les points stratégiques de la DMZ

Aujourd’hui, les gouvernants des systèmes d’information atteignent leurs limites puisque l’énorme quantité des alertes émises par les sondes de surveillance sont transmises de manière désordonnée et engendrent l’impossibilité de surveiller, c’est-à-dire d’interpréter le sens des multiples alertes émises par les sondes de surveillance.

Un antivirus est un logiciel sous forme de programme, développé par un éditeur de logiciel, qui analyse des flux systèmes, réseaux ou applicatifs. Il joue le rôle d’un filtre ; il extrait du flux le contenu qu’il compare à des modèles de référence qu’il connaît, plus connus sous le nom de signature.

Si les valeurs sont identiques cela signifie qu’il a trouvé un virus. Dans ce cas, l’antivirus stocke le fichier dans un espace spécifique appelé quarantaine et envoi une alerte à l’administrateur afin qu’il analyse par lui-même cette anomalie. L’administrateur prendra ensuite les mesures nécessaires.

Certains antivirus nécessitent d’être testés pour prouver leur capacité d’interception. Il existe des sites d’autotest d’antivirus mais cette fonction devrait intégrer les logiciels. De même, il devrait être possible de tester ces signatures

« Un antivirus est là pour protéger mais il ne peut être infaillible. En revanche, ce système global sera au-dessus de toutes les strates d’information.

Le contrat moral que DAVFI (Démonstrateurs d’antivirus français et internationaux) a avec l’État est de pouvoir fournir un outil qui va bien plus loin que ce que font aujourd’hui les antivirus. Nous sommes très bien partis pour y parvenir ; les résultats sont très encourageants. La première partie des modules, actuellement testée, permet déjà de faire beaucoup plus que ce que permettaient les antivirus actuels, en particulier sur les capacités de détection de codes inconnus, qui est le vrai défi technique et le vrai besoin opérationnel. »

M. Jérôme Notin

Président, NOV’IT
19 février 2014
Auditions. Tome II du présent rapport