Sécurité des systèmes informatiques/Sécurité informatique/Introduction
La sécurité-confidentialité
modifierNous présentons dans cette section la terminologie relative à la sécurité. La sécurité peut être vue comme une propriété particulière de la sûreté de fonctionnement. La sécurité correspond alors aux attributs suivants pour un système :
- la confidentialité, c'est à dire la non-occurrence de divulgation non-autorisées de l'information ;
- l'intégrité, c'est à dire la non-occurrence d'altérations inappropriées de l'information ;
- et la disponibilité, qui correspond au fait d'être prêt à l'utilisation.
L'association de la confidentialité, de l'intégrité et de la disponibilité correspond à la sécurité telle que nous l'abordons dans ce document. On peut la désigner sous le nom de sécurité-confidentialité en fonction de son attribut le plus distinctif pour la distinguer d'une autre propriété de la sûreté de fonctionnement, la sécurité-innocuité. (Cette dernière correspond à la non-occurrence dans le système de conséquences catastrophiques pour l'environnement.) Ce document traitant exclusivement de la sécurité-confidentialité, nous utiliserons la désignation directe sécurité pour la nommer.
Dans le cadre de la sûreté de fonctionnement des systèmes informatiques ou des systèmes d'information, les moyens utilisables pour traiter de la sécurité-confidentialité, notamment face à des malveillances, peuvent être organisés autour des points suivants :
- Prévention : la prévention des fautes vise à empêcher l’occurrence ou l’introduction de fautes.
- Tolérance : la tolérance aux fautes correspond à un ensemble de moyens destinés à assurer qu’un système remplit sa fonction en dépit des fautes.
- Élimination : l’élimination des fautes vise à réduire le nombre ou la sévérité des fautes.
- Prévision : la prévision des fautes vise l’estimation de la présence, la création et les conséquences des fautes.
Voies d'action
modifierPlusieurs voies sont disponibles pour aborder les problèmes de sécurité des systèmes d'information ; nous en avons identifiées dans la liste ci-dessous, organisée de manière empirique, notamment par rapport aux différents points abordés dans l'ensemble de ce texte :
- Actions non-techniques
- Gestion de la SSI
- Délégation et habilitation des personnes
- Contrats
- Formation / Sensibilisation
- Actions de protection
- Réseau
- Système
- Applications
- Actions de surveillance
- Détection d’intrusion
- Observation
- Agressions
- Attaques
- Audit / Enquête
- Tests d’intrusion
Technologies concrètes les plus courantes
modifierDans la pratique, certaines technologies ou certaines pratiques, parfois très ponctuelles dominent largement le quotidien de la sécurité des systèmes informatiques actuels :
- Firewall (ou pare-feu) : équipements de filtrage réseau au niveau TCP/IP.
- Relayage et filtrage HTTP : solutions (généralement logicielles) de contrôle et de filtrage des flux réseau des applications appuyées sur des relais (ou proxy) dont les plus courantes concernent le protocole HTTP.
- Détection d’intrusion : sondes repérant, généralement à partir du trafic réseau, des attaques au moment où elles surviennent.
- Systèmes d’authentification : moyens matériels ou logiciels de vérification de l'identité des utilisateurs (humains ou machines).
- VPN : solution de chiffrement de flux réseau (souvent avec encapsulation des flux).
- Protection des applications : verrous et protections mis en œuvre directement par les applications elles-mêmes.
- Antivirus (poste de travail et flux) : systèmes de détection des virus (codes malveillants dont la caractéristique principale est l'auto-propagation) au niveau des postes de travail ou des flux (messagerie, HTTP, etc.).
- Pratiques d'administration : organisation des procédures d'administration avec (ou sans) prise en compte de la sécurité.
- Observation et surveillance réseau : analyse ponctuelle des flux réseau et surveillance générale des systèmes (en lien avec les pratiques d'exploitation orientées vers la fiabilité).
Parmi les différentes techniques disponibles, certaines sont très largement répandues, parfois à l'exclusion d'autres éventuellement disponibles dans l'état de l'art. On recense alors notamment :
- les techniques d'authentification par nom d'utilisateur et mot de passe (à tous les niveaux : systèmes d'exploitation, applications, accès réseau, etc.) ;
- les systèmes de détection d’attaques réseau à base de signatures ;
- les « cartes à puces » (cartes ou clefs) pour l'authentification « forte » (dans le domaine bancaire, administratif, ou la monétique) ;
- les algorithmes de cryptographie : RSA, DSA, 3DES, AES.
Certaines techniques semblent émergentes à l'heure actuelle, notamment :
- la biométrie (du doigt).
Commentaires
modifierUne vulgarisation rapide conduirait certainement à présenter presque exclusivement les sujets suivants pour le domaine de la sécurité informatique : l'antivirus, le firewall, le filtrage d'URL et peut-être la propagation des correctifs (patch). Il s'agirait donc presque exclusivement de techniques de prévention, parfois déployées de manière un peu aveugle.
Ces déploiements se complètent aussi en général d'une prise en compte de la sécurité du système informatique au niveau de l'organisation de l'entreprise, ne serait-ce que par la création d'une fonction de type RSSI. C'est le signe d'une meilleure maturité dans la compréhension de la problématique (qui ne se limite malheureusement pas à l'application de recettes et l'installation d'équipements tout prêts) ; mais cela ne permet généralement pas à l'heure actuelle d'aborder complètement toutes les facettes de la sécurité informatique sur le système réel (de l'authentification à la détection d'intrusion sur le réseau local par exemple).
En effet, outre les contraintes de coûts (à la fois en matériels, logiciels et personnels pour les administrer), les difficultés d'organisation (par exemple pour la formation ou la garantie de l'indépendance des administrateurs sécurité), ainsi que la complexité technique d'un diagnostic valide (pouvant combiner des notions de cryptographie, de réseau, de système d'exploitation, et, in fine, le besoin de le défendre devant un tribunal) ; il reste l'obstacle fondamental lié au fait que la sécurité n'est généralement pas la finalité première d'un système informatique civil. Dans la plupart des cas, les exigences de sécurité sont perçues comme secondaires par rapport aux besoins initiaux, et cette attitude, qu'elle soit justifiée ou non, mène parfois à une réutilisation ou des réactions un peu trop automatiques. [1]
Malgré les présentations plus ou moins théorisantes, la réalité de la sécurité informatique à l'heure actuelle reste principalement une juxtaposition de deux choses : la mise en place de recettes industrielles toutes prêtes à l'efficacité souvent difficile à évaluer, et les efforts pratiques de personnalités individuelles aux compétences parfois très rigoureuses mais largement basées sur une connaissance technique autodidacte. Les efforts généraux de l'industrie qui se développe autour de la thématique sécurité visent bien évidemment quand même à améliorer au maximum la qualité technique des recettes proposées et à les faire évoluer vers une organisation et des méthodes plus générales et plus efficaces (mais dont l'évaluation reste toutefois pour l'instant un sujet assez mystérieux). Pourtant, les efforts concrets des « sysadmin/guru/hackers » ne sont pas à négliger car, dans la pratique, ils justifient pour une grande part la confiance que l'on peut accorder - ou, en leur absence, qu'il n'est pas judicieux d'accorder - à la sécurité des systèmes informatiques actuels. Bien qu'ignorés par les méthodologies industrielles, il est clair qu'au cœur d'un système informatique de confiance nous trouverons encore toujours à l'heure actuelle avant tout des individus qui contribuent à la sécurité du système (sans nécessairement en avoir officiellement la responsabilité). Ils s'inscrivent dans une logique de prise en compte ouverte des problèmes et de leurs solutions certes parfois désorganisée au niveau global, mais génératrice d'efforts pratiques réellement orientés vers l'amélioration de la sécurité ; en puisant peut-être une motivation aux mêmes sources que ceux qui, parfois, mettent en danger ces mêmes systèmes. La sécurité informatique est encore une affaire de passionnés. Que ce soit heureux ou malheureux, pour l'instant, nous ne sommes pas vraiment en mesure d'en juger.
Notes
modifier- ↑ Par exemple, même si parfois, les besoins fonctionnels eux-mêmes sont mis en danger par l'insécurité du système et si les risques sont inacceptables, rares sont les situations où il est possible de provoquer une prise de conscience suffisamment aiguë d'un risque pour prononcer l'arrêt d'un système. C'est d'ailleurs une constatation qui militerait fortement en faveur du développement de techniques utilisant une approche basée sur la tolérance (aux intrusions).