eng111 gacem codes malveillants
TRANSCRIPT
CONSERVATOIRE NATIONALDES ARTS ET METIERS
RENNES
ENG111 INFORMATIQUE et COMMUNICATION POUR
LrsquoINGENIEUR
Christophe GACEM
Sujet
Dans son livre laquo les virus informatiques theacuteorie pratique et applications Eric Filiol preacutesente la lutte antivirale comme peu efficace contre les codes malveillants qui seraient reacutealiseacutes pour atteindre des cibles preacutecises au sein des entreprises Apregraves avoir rappeleacute les eacuteleacutements essentiels preacutesenteacutes par lrsquoauteur vous expliquerez comment selon vous il est possible de minimiser le risque preacutesenteacute par ces logiciels malicieux au sein de lrsquoentreprise informatiseacutee
Jury
Professeur YPolletProfesseur CPreacuteaux Mr Eric Bornette
16 juin 2011
IntroductionAvec le deacuteveloppement et la geacuteneacuteralisation des reacuteseaux la croissance des
technologies mobiles les entreprises et leurs utilisateurs sont ameneacutees agrave eacutechanger de plus en plus couramment des donneacutees La frontiegravere entre lrsquoentreprise et le domaine personnel srsquoestompe et augmente significativement les risques drsquoinfection virale Chaque jour des dizaines de milliers de codes malicieux sont distribueacutees sur le web et infectent les systegravemes informatiques des entreprises
Les entreprises basent leur protection antivirale sur les outils du marcheacute et leur font confiance Pourtant des speacutecialistes reconnus dans le monde de la seacutecuriteacute comme Eric Filiol qualifient ces outils comme peu efficaces face agrave des codes malveillants qui seraient utiliseacutes pour atteindre des cibles preacutecises
Face agrave cette menace lrsquoentreprise doit poursuivre son activiteacute et srsquoorganiser pour minimiser les risques Nous nous proposons agrave travers ce document drsquoeacutetablir un constat agrave partir des travaux drsquoEric Filiol et de voir comment lrsquoentreprise peut srsquoorganiser pour se proteacuteger
Dans un premier temps nous deacutecrirons les fondements de la virologie informatique et de la lutte antivirale Dans un second temps nous preacutesenterons le constat fait par Eric Filiol et nous donnerons un eacutetat des lieux de la menace Enfin nous tenterons de deacutefinir une approche globale drsquoune politique de seacutecuriteacute pour limiter les risques preacutesenteacutes par ces logiciels malicieux au sein de lrsquoentreprise informatiseacutee
16 juin 2011
Sommaire
1 Fondements theacuteoriques de la virologie informatique4
11 A propos de ce travail4
12 Contexte et probleacutematique4
13 Les virus et les infections informatiques5
14 Formalisation de la lutte antivirale11
2 Etat des lieux15
21 Le danger du marketing15
22 Eacutetat de la menace et perspectives17
23 Protection juridique en matiegravere de cybercriminaliteacute19
24 Bilan20
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur20
31 Construire un systegraveme de confiance21
32 Concept drsquoune strateacutegie de deacutefense en profondeur24
321 Preacutesentation24
322 Les eacutetapes28
323 Contraintes a priori29
33 Mesures pratiques30
331 Mesures organisationnelles30
332 Mesures techniques30
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances33
34 Les moyens techniques34
35 Eleacutements de politique de seacutecuriteacute38
36 Quelques exemples drsquoarchitecture39
4 Conclusion39
5 Acronymes40
6 Reacutefeacuterences Documentaires40
7 Annexes42
16 juin 2011
1 Fondements theacuteoriques de la virologie informatique
Ce chapitre donne un aperccedilu des fondamentaux de la virologie informatique et introduit le problegraveme de la deacutetection virale et des principaux problegravemes ouverts agrave cette discipline au regard de la complexiteacute
Une approche technique deacutetailleacutee est fournie dans le livre drsquoEFILIOL dont une partie de ce chapitre est issue Ce chapitre permet aussi agrave travers la compreacutehension des virus de caracteacuteriser les limites de la lutte antivirale et lrsquoinefficaciteacute des solutions du marcheacute
11 A propos de ce travail
Ce document sensibilise les parties prenantes de lrsquoentreprise agrave la neacutecessiteacute drsquoadopter une deacutemarche et un comportement responsable en matiegravere de seacutecurisation des systegravemes drsquoinformation notamment dans la menace que repreacutesente lrsquoutilisation drsquointernet Face agrave cette menace les entreprises et les directions sont-elles conscientes des impacts (financiers juridiques image) lieacutes agrave
- Une interruption de service des applications meacutetiers durant 4h 24h un mois- Une faille de confidentialiteacute permettant agrave un tiers drsquoobtenir des informations
strateacutegiques et confidentielles - Une perte de donneacutees Sauvegarde deacutefectueuse attaque virale sabotage - Une usurpation de droits remettant en cause lrsquointeacutegriteacute des donneacutees
Ce travail envisage la seacutecuriteacute sous un aspect global Une autre eacutetude pourrait davantage se concentrer sur une eacutevaluation comparative des solutions antivirale du marcheacute et des boitiers eacutelectroniques de tel ou tel constructeur Drsquoautres eacutetudes pourraient porter sur les actions malveillantes qui affectent lrsquointeacutegriteacute du noyau du systegraveme drsquoinformation ou sur les meacutethodes de cryptanalyse
Le document vise agrave donner des pistes de reacuteflexion geacuteneacuterique en matiegravere de seacutecuriteacute il sensibilise sur une conduite agrave tenir et nous aide agrave identifier ce que pourrait ecirctre une politique de seacutecuriteacute vis-agrave-vis de telle menace que repreacutesentent les logiciels malicieux
12 Contexte et probleacutematique
Tout le monde reconnaicirct maintenant que lrsquoutilisation des ordinateurs en particulier au travers du reacuteseau Internet est devenue essentielle dans la vie quotidienne des entreprises Chacun drsquoentre nous utilise un ordinateur pour travailler pour eacutechanger des informations pour faire des achats etc
Pour reacuteduire les coucircts de deacuteveloppement les systegravemes informatiques utilisent de plus en plus de composants sur eacutetagegravere (ou COTS pour Components Off-The-Shelf) mecircme pour des applications plus ou moins critiques Ces composants peuvent ecirctre des mateacuteriels (microprocesseurs chipsets) des logiciels de base (systegravemes drsquoexploitation outils de deacuteveloppement ou de configuration) des applications geacuteneacuteriques (base de donneacutees serveurs Web) ou deacutedieacutees agrave des fonctions plus speacutecifiques (pare-feux commande et controcircle) Ces composants eacutetant conccedilus pour ecirctre geacuteneacuteriques sont souvent beaucoup plus
16 juin 2011
complexes que ce qui est vraiment utile pour un systegraveme particulier Cette complexiteacute les fragilise vis-agrave-vis de la seacutecuriteacute En effet il est pratiquement impossible de les veacuterifier parfaitement crsquoest-agrave-dire de garantir drsquoune part lrsquoabsence de bogues et drsquoautre part lrsquoabsence de fonctions cacheacutees Par conseacutequent des pirates peuvent profiter de cette situation pour reacuteussir agrave peacuteneacutetrer dans ces systegravemes et en utiliser les ressources associeacutees Les activiteacutes malveillantes visant les ordinateurs se multiplient largement aujourdrsquohui
Par exemple corrompre le noyau drsquoun systegraveme drsquoexploitation est particuliegraverement inteacuteressant du point de vue drsquoun attaquant parce que cela signifie corrompre potentiellement tous les logiciels qui srsquoexeacutecutent au-dessus de ce noyau Cela peut mecircme aller jusqursquoagrave la prise de controcircle complegravete du systegraveme par lrsquoattaquant Le noyau drsquoun systegraveme drsquoexploitation doit donc ecirctre fortement proteacutegeacute Mais proteacuteger un noyau de faccedilon efficace par des meacutecanismes de seacutecuriteacute est particuliegraverement deacutelicat car on peut facilement les contourner
Les entreprises pour la grande majoriteacute font face agrave ce type de problegraveme en se reposant sur les eacutediteurs du domaine de la seacutecuriteacute et font confiance aux solutions proposeacutees Or la multiplication des solutions techniques au regard du nombre croissant des attaques pose le problegraveme de la confiance relative qursquoapportent ces solutions problegraveme drsquoautant plus complexe degraves lors qursquoil srsquoagit de codes malveillants cibleacutes Ces solutions commerciales sont en effet destineacutees pour un public large et vont satisfaire aux attaques les plus courantes
En outre nous avons observeacute ces derniegraveres anneacutees une tendance agrave lrsquoutilisation de plus en plus systeacutematique drsquoapplications de protection logicielle du marcheacute par les auteurs de virus La vente de codes malveillants devient drsquoailleurs un commerce comme un autre On peut acqueacuterir deacutesormais agrave moindre coucirct tout type de programme hostile ou de service drsquoattaque cleacute en main le web canal eacutetant le canal de distribution ideacuteal
Lrsquoentreprise eacutevolue en permanence avec les technologies Une bonne compreacutehension de la menace virale rend indispensable une veille technologique et doit nous interroger en permanence sur notre politique de seacutecuriteacute et cela quelle que soit la taille de lrsquoentreprise
13 Les virus et les infections informatiques
La formalisation des virus
Les travaux de Fred Cohen en 1986 et Leacuteonard Adleman en 1988 constituent les fondements de la virologie Un virus au sens Cohen peut ecirctre formaliseacute par un mot sur le ruban (zone meacutemoire) drsquoune machine de Turing [1] qui se duplique ou se modifie sur ce mecircme ruban lorsqursquoil est activeacute La modeacutelisation de la laquo machine de Turing raquo consiste agrave deacutecrire une repreacutesentation abstraite et geacuteneacuterale drsquoun ordinateur et des programmes susceptibles drsquoecirctre exeacutecuteacutes sur cet ordinateur
La notion de laquo reacuteplication automatique raquo est une caracteacuteristique primordiale du virus Adleman propose un terme plus geacuteneacuteral celui drsquo laquo infection informatique raquo La reacuteplication
16 juin 2011
nrsquoentre pas dans sa deacutefinition qui est alors eacutelargie agrave tout programme nuisible pour la machine ou lrsquoutilisateur Ses travaux ont eacuteteacute repris et compleacuteteacutes par les auteurs de [3] qui eacutetablissent un cadre formel et les deacutemonstrations des theacuteories drsquoAdleman Malgreacute un fondement theacuteorique original solide les approches fondamentales au problegraveme des programmes malveillants sont assez rares Nous trouvons finalement assez peu de contributions vraiment nouvelles sur le sujet dans ce domaine en pregraves de vingt cinq ans drsquoexistence (depuis la thegravese de Cohen [1])
Dans son livre Eric Filiol [4] propose la deacutefinition 1 suivante pour une infection informatique ou malware et souligne avec la figure ci-dessous qursquoil srsquoagit drsquoune notion complexe
Malware (malicious+software) = logiciel malveillant = une infection informatique
Les reacutesultats des recherches theacuteoriques ont permis de deacutefinir agrave la fois les virus informatiques et autres infections informatiques et leur ineacutevitable et indispensable contrepartie la deacutefense et la lutte antivirale
Deacutefinition 1 Programme simple ou auto-reproducteur agrave caractegravere offensif srsquoinstallant dans un systegraveme drsquoinformation agrave lrsquoinsu du ou des utilisateurs en vue de porter atteinte agrave la confidentialiteacute lrsquointeacutegriteacute ou la disponibiliteacute de ce systegraveme ou susceptible drsquoincriminer agrave tort son possesseur ou lrsquoutilisateur dans la reacutealisation drsquoun crime ou drsquoun deacutelit La figure est issu
La figure 131 ci-dessus preacutesente la classification des infections informatiques (Source EFILIOL)
Cette deacutefinition deacutepasse la notion stricte de virus informatiques insiste sur le caractegravere deacutelictueux de telles pratiques la non information du possesseur de lordinateur infecteacute et dans les cas graves sur sa responsabiliteacute peacutenale Le deuxiegraveme chapitre de notre eacutetude donnera quelques repegraveres juridiques
Un programme simple contient une fonctionnaliteacute malveillante cacheacutee qui est appeleacutee agrave se deacuteclencher agrave un instant donneacute sur un critegravere donneacute Il ny a pas propagation Ce programme doit ecirctre introduit (volontairement ou non) dans lordinateur cibleacute On le retrouvera en seul exemplaireLorsque lutilisateur exeacutecute le programme la fonctionnaliteacute malveillante (payload) sexeacutecute immeacutediatement Une action destructive ou simplement perturbatrice est alors mise en œuvre Selon son but elle sera visible ou non par lutilisateur Une fois laction
16 juin 2011
accomplie le programme se termine Il nest geacuteneacuteralement pas reacutesident en meacutemoire On retrouve dans cette famille la Bombe Logique et le Cheval de Troie
Dans un premier temps nous effectuerons une classification des malware selon leur charge virale crsquoest-agrave-dire le mode drsquoaction de lrsquoattaque Nous aborderons ensuite les diffeacuterentes formes sous lesquelles les logiciels malveillants se deacuteclinent Il est agrave noter que certains aspects de lrsquoattaque virale comme le mode drsquoinfection ne seront pas deacutetailleacutes ici mais ils sont largement abordeacutes dans la litteacuterature La classification peut paraicirctre rassurante mais lrsquoimbrication des techniques virales rend cette derniegravere complexe
Classification des malwares par comportement
Les principaux types de malware peuvent se distinguer par leur mode drsquoaction geacuteneacuteral Cette classification (voir figure 131) est largement inspireacutee des travaux drsquoEric Filiol
Virus et vers Le virus est le type de malware le plus ancien et dont lrsquoeacutetude theacuteorique est la plus fournie A lrsquoinstar drsquoun virus en biologie un virus informatique est un programme auto-reproducteur Cette proprieacuteteacute est indeacutependante du but du malware qui peut ecirctre de diffeacuterente nature Les modes de reacuteplication peuvent diffeacuterer le virus peut se copier lui-mecircme srsquointeacutegrer dans un autre fichier exeacutecutable ou dans un fichier de donneacutees selon ce qursquoil vise
Avec lrsquoavegravenement drsquointernet les vers sont apparus Ce sont des virus qui se propagent par le reacuteseau Par leur mode de propagation rapide les vers et les virus ont eacuteteacute responsables des infections de grande envergure ces derniegraveres anneacutees (Conficker en 2008 avec pregraves de 9 millions de machines infecteacutees par exemple) Les virus infectent leurs cibles selon plusieurs modes drsquoinfection par eacutecrasement de code par recouvrement de code par entrelacement de code par accompagnement de code ou encore par infection de code source
Sans entrer plus en deacutetail nous donnons une classification issue de la litteacuterature de Filiol Parce que les programmeurs combinent plusieurs techniques il existe diffeacuterentes maniegraveres de classer les virus toutes privileacutegiant tel aspect ou tel autre parfois avec des recouvrements
- Selon le format viseacute virus drsquoexeacutecutables- Selon lrsquoorgane cible virus de secteur de boot de pilotes de peacuteripheacuteriques hellip- Selon le langage de programmation virus en assembleur virus de code sources
virus en langage interpreacuteteacutes hellip- Selon le comportement reacutesident furtif polymorphe hellip- Selon la nature de la charge finale virus espions virus destructeurs- Selon le mode de fonctionnement virus binaires virus psychologiques hellip
Les vers appartiennent agrave la famille des laquo auto-reproducteurs raquo Il est possible de les consideacuterer comme une sous-classe particuliegravere de virus Les vers utilisent donc les reacuteseaux pour envoyer des copies du code original vers dautres ordinateurs en utilisant de la bande passante et en exploitant des failles de seacutecuriteacute dans les machines connecteacutees au reacuteseau La deacutefinition drsquoun ver srsquoarrecircte agrave la maniegravere dont il se propage de machine en machine Un ver contrairement agrave un virus informatique na pas besoin dun programme hocircte pour se reproduire Les vers sont pourvus de trois fonctions principales une fonction de deacutecouverte de machines ougrave il pourra potentiellement se dupliquer (scan dadresses IP) une fonction
16 juin 2011
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
IntroductionAvec le deacuteveloppement et la geacuteneacuteralisation des reacuteseaux la croissance des
technologies mobiles les entreprises et leurs utilisateurs sont ameneacutees agrave eacutechanger de plus en plus couramment des donneacutees La frontiegravere entre lrsquoentreprise et le domaine personnel srsquoestompe et augmente significativement les risques drsquoinfection virale Chaque jour des dizaines de milliers de codes malicieux sont distribueacutees sur le web et infectent les systegravemes informatiques des entreprises
Les entreprises basent leur protection antivirale sur les outils du marcheacute et leur font confiance Pourtant des speacutecialistes reconnus dans le monde de la seacutecuriteacute comme Eric Filiol qualifient ces outils comme peu efficaces face agrave des codes malveillants qui seraient utiliseacutes pour atteindre des cibles preacutecises
Face agrave cette menace lrsquoentreprise doit poursuivre son activiteacute et srsquoorganiser pour minimiser les risques Nous nous proposons agrave travers ce document drsquoeacutetablir un constat agrave partir des travaux drsquoEric Filiol et de voir comment lrsquoentreprise peut srsquoorganiser pour se proteacuteger
Dans un premier temps nous deacutecrirons les fondements de la virologie informatique et de la lutte antivirale Dans un second temps nous preacutesenterons le constat fait par Eric Filiol et nous donnerons un eacutetat des lieux de la menace Enfin nous tenterons de deacutefinir une approche globale drsquoune politique de seacutecuriteacute pour limiter les risques preacutesenteacutes par ces logiciels malicieux au sein de lrsquoentreprise informatiseacutee
16 juin 2011
Sommaire
1 Fondements theacuteoriques de la virologie informatique4
11 A propos de ce travail4
12 Contexte et probleacutematique4
13 Les virus et les infections informatiques5
14 Formalisation de la lutte antivirale11
2 Etat des lieux15
21 Le danger du marketing15
22 Eacutetat de la menace et perspectives17
23 Protection juridique en matiegravere de cybercriminaliteacute19
24 Bilan20
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur20
31 Construire un systegraveme de confiance21
32 Concept drsquoune strateacutegie de deacutefense en profondeur24
321 Preacutesentation24
322 Les eacutetapes28
323 Contraintes a priori29
33 Mesures pratiques30
331 Mesures organisationnelles30
332 Mesures techniques30
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances33
34 Les moyens techniques34
35 Eleacutements de politique de seacutecuriteacute38
36 Quelques exemples drsquoarchitecture39
4 Conclusion39
5 Acronymes40
6 Reacutefeacuterences Documentaires40
7 Annexes42
16 juin 2011
1 Fondements theacuteoriques de la virologie informatique
Ce chapitre donne un aperccedilu des fondamentaux de la virologie informatique et introduit le problegraveme de la deacutetection virale et des principaux problegravemes ouverts agrave cette discipline au regard de la complexiteacute
Une approche technique deacutetailleacutee est fournie dans le livre drsquoEFILIOL dont une partie de ce chapitre est issue Ce chapitre permet aussi agrave travers la compreacutehension des virus de caracteacuteriser les limites de la lutte antivirale et lrsquoinefficaciteacute des solutions du marcheacute
11 A propos de ce travail
Ce document sensibilise les parties prenantes de lrsquoentreprise agrave la neacutecessiteacute drsquoadopter une deacutemarche et un comportement responsable en matiegravere de seacutecurisation des systegravemes drsquoinformation notamment dans la menace que repreacutesente lrsquoutilisation drsquointernet Face agrave cette menace les entreprises et les directions sont-elles conscientes des impacts (financiers juridiques image) lieacutes agrave
- Une interruption de service des applications meacutetiers durant 4h 24h un mois- Une faille de confidentialiteacute permettant agrave un tiers drsquoobtenir des informations
strateacutegiques et confidentielles - Une perte de donneacutees Sauvegarde deacutefectueuse attaque virale sabotage - Une usurpation de droits remettant en cause lrsquointeacutegriteacute des donneacutees
Ce travail envisage la seacutecuriteacute sous un aspect global Une autre eacutetude pourrait davantage se concentrer sur une eacutevaluation comparative des solutions antivirale du marcheacute et des boitiers eacutelectroniques de tel ou tel constructeur Drsquoautres eacutetudes pourraient porter sur les actions malveillantes qui affectent lrsquointeacutegriteacute du noyau du systegraveme drsquoinformation ou sur les meacutethodes de cryptanalyse
Le document vise agrave donner des pistes de reacuteflexion geacuteneacuterique en matiegravere de seacutecuriteacute il sensibilise sur une conduite agrave tenir et nous aide agrave identifier ce que pourrait ecirctre une politique de seacutecuriteacute vis-agrave-vis de telle menace que repreacutesentent les logiciels malicieux
12 Contexte et probleacutematique
Tout le monde reconnaicirct maintenant que lrsquoutilisation des ordinateurs en particulier au travers du reacuteseau Internet est devenue essentielle dans la vie quotidienne des entreprises Chacun drsquoentre nous utilise un ordinateur pour travailler pour eacutechanger des informations pour faire des achats etc
Pour reacuteduire les coucircts de deacuteveloppement les systegravemes informatiques utilisent de plus en plus de composants sur eacutetagegravere (ou COTS pour Components Off-The-Shelf) mecircme pour des applications plus ou moins critiques Ces composants peuvent ecirctre des mateacuteriels (microprocesseurs chipsets) des logiciels de base (systegravemes drsquoexploitation outils de deacuteveloppement ou de configuration) des applications geacuteneacuteriques (base de donneacutees serveurs Web) ou deacutedieacutees agrave des fonctions plus speacutecifiques (pare-feux commande et controcircle) Ces composants eacutetant conccedilus pour ecirctre geacuteneacuteriques sont souvent beaucoup plus
16 juin 2011
complexes que ce qui est vraiment utile pour un systegraveme particulier Cette complexiteacute les fragilise vis-agrave-vis de la seacutecuriteacute En effet il est pratiquement impossible de les veacuterifier parfaitement crsquoest-agrave-dire de garantir drsquoune part lrsquoabsence de bogues et drsquoautre part lrsquoabsence de fonctions cacheacutees Par conseacutequent des pirates peuvent profiter de cette situation pour reacuteussir agrave peacuteneacutetrer dans ces systegravemes et en utiliser les ressources associeacutees Les activiteacutes malveillantes visant les ordinateurs se multiplient largement aujourdrsquohui
Par exemple corrompre le noyau drsquoun systegraveme drsquoexploitation est particuliegraverement inteacuteressant du point de vue drsquoun attaquant parce que cela signifie corrompre potentiellement tous les logiciels qui srsquoexeacutecutent au-dessus de ce noyau Cela peut mecircme aller jusqursquoagrave la prise de controcircle complegravete du systegraveme par lrsquoattaquant Le noyau drsquoun systegraveme drsquoexploitation doit donc ecirctre fortement proteacutegeacute Mais proteacuteger un noyau de faccedilon efficace par des meacutecanismes de seacutecuriteacute est particuliegraverement deacutelicat car on peut facilement les contourner
Les entreprises pour la grande majoriteacute font face agrave ce type de problegraveme en se reposant sur les eacutediteurs du domaine de la seacutecuriteacute et font confiance aux solutions proposeacutees Or la multiplication des solutions techniques au regard du nombre croissant des attaques pose le problegraveme de la confiance relative qursquoapportent ces solutions problegraveme drsquoautant plus complexe degraves lors qursquoil srsquoagit de codes malveillants cibleacutes Ces solutions commerciales sont en effet destineacutees pour un public large et vont satisfaire aux attaques les plus courantes
En outre nous avons observeacute ces derniegraveres anneacutees une tendance agrave lrsquoutilisation de plus en plus systeacutematique drsquoapplications de protection logicielle du marcheacute par les auteurs de virus La vente de codes malveillants devient drsquoailleurs un commerce comme un autre On peut acqueacuterir deacutesormais agrave moindre coucirct tout type de programme hostile ou de service drsquoattaque cleacute en main le web canal eacutetant le canal de distribution ideacuteal
Lrsquoentreprise eacutevolue en permanence avec les technologies Une bonne compreacutehension de la menace virale rend indispensable une veille technologique et doit nous interroger en permanence sur notre politique de seacutecuriteacute et cela quelle que soit la taille de lrsquoentreprise
13 Les virus et les infections informatiques
La formalisation des virus
Les travaux de Fred Cohen en 1986 et Leacuteonard Adleman en 1988 constituent les fondements de la virologie Un virus au sens Cohen peut ecirctre formaliseacute par un mot sur le ruban (zone meacutemoire) drsquoune machine de Turing [1] qui se duplique ou se modifie sur ce mecircme ruban lorsqursquoil est activeacute La modeacutelisation de la laquo machine de Turing raquo consiste agrave deacutecrire une repreacutesentation abstraite et geacuteneacuterale drsquoun ordinateur et des programmes susceptibles drsquoecirctre exeacutecuteacutes sur cet ordinateur
La notion de laquo reacuteplication automatique raquo est une caracteacuteristique primordiale du virus Adleman propose un terme plus geacuteneacuteral celui drsquo laquo infection informatique raquo La reacuteplication
16 juin 2011
nrsquoentre pas dans sa deacutefinition qui est alors eacutelargie agrave tout programme nuisible pour la machine ou lrsquoutilisateur Ses travaux ont eacuteteacute repris et compleacuteteacutes par les auteurs de [3] qui eacutetablissent un cadre formel et les deacutemonstrations des theacuteories drsquoAdleman Malgreacute un fondement theacuteorique original solide les approches fondamentales au problegraveme des programmes malveillants sont assez rares Nous trouvons finalement assez peu de contributions vraiment nouvelles sur le sujet dans ce domaine en pregraves de vingt cinq ans drsquoexistence (depuis la thegravese de Cohen [1])
Dans son livre Eric Filiol [4] propose la deacutefinition 1 suivante pour une infection informatique ou malware et souligne avec la figure ci-dessous qursquoil srsquoagit drsquoune notion complexe
Malware (malicious+software) = logiciel malveillant = une infection informatique
Les reacutesultats des recherches theacuteoriques ont permis de deacutefinir agrave la fois les virus informatiques et autres infections informatiques et leur ineacutevitable et indispensable contrepartie la deacutefense et la lutte antivirale
Deacutefinition 1 Programme simple ou auto-reproducteur agrave caractegravere offensif srsquoinstallant dans un systegraveme drsquoinformation agrave lrsquoinsu du ou des utilisateurs en vue de porter atteinte agrave la confidentialiteacute lrsquointeacutegriteacute ou la disponibiliteacute de ce systegraveme ou susceptible drsquoincriminer agrave tort son possesseur ou lrsquoutilisateur dans la reacutealisation drsquoun crime ou drsquoun deacutelit La figure est issu
La figure 131 ci-dessus preacutesente la classification des infections informatiques (Source EFILIOL)
Cette deacutefinition deacutepasse la notion stricte de virus informatiques insiste sur le caractegravere deacutelictueux de telles pratiques la non information du possesseur de lordinateur infecteacute et dans les cas graves sur sa responsabiliteacute peacutenale Le deuxiegraveme chapitre de notre eacutetude donnera quelques repegraveres juridiques
Un programme simple contient une fonctionnaliteacute malveillante cacheacutee qui est appeleacutee agrave se deacuteclencher agrave un instant donneacute sur un critegravere donneacute Il ny a pas propagation Ce programme doit ecirctre introduit (volontairement ou non) dans lordinateur cibleacute On le retrouvera en seul exemplaireLorsque lutilisateur exeacutecute le programme la fonctionnaliteacute malveillante (payload) sexeacutecute immeacutediatement Une action destructive ou simplement perturbatrice est alors mise en œuvre Selon son but elle sera visible ou non par lutilisateur Une fois laction
16 juin 2011
accomplie le programme se termine Il nest geacuteneacuteralement pas reacutesident en meacutemoire On retrouve dans cette famille la Bombe Logique et le Cheval de Troie
Dans un premier temps nous effectuerons une classification des malware selon leur charge virale crsquoest-agrave-dire le mode drsquoaction de lrsquoattaque Nous aborderons ensuite les diffeacuterentes formes sous lesquelles les logiciels malveillants se deacuteclinent Il est agrave noter que certains aspects de lrsquoattaque virale comme le mode drsquoinfection ne seront pas deacutetailleacutes ici mais ils sont largement abordeacutes dans la litteacuterature La classification peut paraicirctre rassurante mais lrsquoimbrication des techniques virales rend cette derniegravere complexe
Classification des malwares par comportement
Les principaux types de malware peuvent se distinguer par leur mode drsquoaction geacuteneacuteral Cette classification (voir figure 131) est largement inspireacutee des travaux drsquoEric Filiol
Virus et vers Le virus est le type de malware le plus ancien et dont lrsquoeacutetude theacuteorique est la plus fournie A lrsquoinstar drsquoun virus en biologie un virus informatique est un programme auto-reproducteur Cette proprieacuteteacute est indeacutependante du but du malware qui peut ecirctre de diffeacuterente nature Les modes de reacuteplication peuvent diffeacuterer le virus peut se copier lui-mecircme srsquointeacutegrer dans un autre fichier exeacutecutable ou dans un fichier de donneacutees selon ce qursquoil vise
Avec lrsquoavegravenement drsquointernet les vers sont apparus Ce sont des virus qui se propagent par le reacuteseau Par leur mode de propagation rapide les vers et les virus ont eacuteteacute responsables des infections de grande envergure ces derniegraveres anneacutees (Conficker en 2008 avec pregraves de 9 millions de machines infecteacutees par exemple) Les virus infectent leurs cibles selon plusieurs modes drsquoinfection par eacutecrasement de code par recouvrement de code par entrelacement de code par accompagnement de code ou encore par infection de code source
Sans entrer plus en deacutetail nous donnons une classification issue de la litteacuterature de Filiol Parce que les programmeurs combinent plusieurs techniques il existe diffeacuterentes maniegraveres de classer les virus toutes privileacutegiant tel aspect ou tel autre parfois avec des recouvrements
- Selon le format viseacute virus drsquoexeacutecutables- Selon lrsquoorgane cible virus de secteur de boot de pilotes de peacuteripheacuteriques hellip- Selon le langage de programmation virus en assembleur virus de code sources
virus en langage interpreacuteteacutes hellip- Selon le comportement reacutesident furtif polymorphe hellip- Selon la nature de la charge finale virus espions virus destructeurs- Selon le mode de fonctionnement virus binaires virus psychologiques hellip
Les vers appartiennent agrave la famille des laquo auto-reproducteurs raquo Il est possible de les consideacuterer comme une sous-classe particuliegravere de virus Les vers utilisent donc les reacuteseaux pour envoyer des copies du code original vers dautres ordinateurs en utilisant de la bande passante et en exploitant des failles de seacutecuriteacute dans les machines connecteacutees au reacuteseau La deacutefinition drsquoun ver srsquoarrecircte agrave la maniegravere dont il se propage de machine en machine Un ver contrairement agrave un virus informatique na pas besoin dun programme hocircte pour se reproduire Les vers sont pourvus de trois fonctions principales une fonction de deacutecouverte de machines ougrave il pourra potentiellement se dupliquer (scan dadresses IP) une fonction
16 juin 2011
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Sommaire
1 Fondements theacuteoriques de la virologie informatique4
11 A propos de ce travail4
12 Contexte et probleacutematique4
13 Les virus et les infections informatiques5
14 Formalisation de la lutte antivirale11
2 Etat des lieux15
21 Le danger du marketing15
22 Eacutetat de la menace et perspectives17
23 Protection juridique en matiegravere de cybercriminaliteacute19
24 Bilan20
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur20
31 Construire un systegraveme de confiance21
32 Concept drsquoune strateacutegie de deacutefense en profondeur24
321 Preacutesentation24
322 Les eacutetapes28
323 Contraintes a priori29
33 Mesures pratiques30
331 Mesures organisationnelles30
332 Mesures techniques30
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances33
34 Les moyens techniques34
35 Eleacutements de politique de seacutecuriteacute38
36 Quelques exemples drsquoarchitecture39
4 Conclusion39
5 Acronymes40
6 Reacutefeacuterences Documentaires40
7 Annexes42
16 juin 2011
1 Fondements theacuteoriques de la virologie informatique
Ce chapitre donne un aperccedilu des fondamentaux de la virologie informatique et introduit le problegraveme de la deacutetection virale et des principaux problegravemes ouverts agrave cette discipline au regard de la complexiteacute
Une approche technique deacutetailleacutee est fournie dans le livre drsquoEFILIOL dont une partie de ce chapitre est issue Ce chapitre permet aussi agrave travers la compreacutehension des virus de caracteacuteriser les limites de la lutte antivirale et lrsquoinefficaciteacute des solutions du marcheacute
11 A propos de ce travail
Ce document sensibilise les parties prenantes de lrsquoentreprise agrave la neacutecessiteacute drsquoadopter une deacutemarche et un comportement responsable en matiegravere de seacutecurisation des systegravemes drsquoinformation notamment dans la menace que repreacutesente lrsquoutilisation drsquointernet Face agrave cette menace les entreprises et les directions sont-elles conscientes des impacts (financiers juridiques image) lieacutes agrave
- Une interruption de service des applications meacutetiers durant 4h 24h un mois- Une faille de confidentialiteacute permettant agrave un tiers drsquoobtenir des informations
strateacutegiques et confidentielles - Une perte de donneacutees Sauvegarde deacutefectueuse attaque virale sabotage - Une usurpation de droits remettant en cause lrsquointeacutegriteacute des donneacutees
Ce travail envisage la seacutecuriteacute sous un aspect global Une autre eacutetude pourrait davantage se concentrer sur une eacutevaluation comparative des solutions antivirale du marcheacute et des boitiers eacutelectroniques de tel ou tel constructeur Drsquoautres eacutetudes pourraient porter sur les actions malveillantes qui affectent lrsquointeacutegriteacute du noyau du systegraveme drsquoinformation ou sur les meacutethodes de cryptanalyse
Le document vise agrave donner des pistes de reacuteflexion geacuteneacuterique en matiegravere de seacutecuriteacute il sensibilise sur une conduite agrave tenir et nous aide agrave identifier ce que pourrait ecirctre une politique de seacutecuriteacute vis-agrave-vis de telle menace que repreacutesentent les logiciels malicieux
12 Contexte et probleacutematique
Tout le monde reconnaicirct maintenant que lrsquoutilisation des ordinateurs en particulier au travers du reacuteseau Internet est devenue essentielle dans la vie quotidienne des entreprises Chacun drsquoentre nous utilise un ordinateur pour travailler pour eacutechanger des informations pour faire des achats etc
Pour reacuteduire les coucircts de deacuteveloppement les systegravemes informatiques utilisent de plus en plus de composants sur eacutetagegravere (ou COTS pour Components Off-The-Shelf) mecircme pour des applications plus ou moins critiques Ces composants peuvent ecirctre des mateacuteriels (microprocesseurs chipsets) des logiciels de base (systegravemes drsquoexploitation outils de deacuteveloppement ou de configuration) des applications geacuteneacuteriques (base de donneacutees serveurs Web) ou deacutedieacutees agrave des fonctions plus speacutecifiques (pare-feux commande et controcircle) Ces composants eacutetant conccedilus pour ecirctre geacuteneacuteriques sont souvent beaucoup plus
16 juin 2011
complexes que ce qui est vraiment utile pour un systegraveme particulier Cette complexiteacute les fragilise vis-agrave-vis de la seacutecuriteacute En effet il est pratiquement impossible de les veacuterifier parfaitement crsquoest-agrave-dire de garantir drsquoune part lrsquoabsence de bogues et drsquoautre part lrsquoabsence de fonctions cacheacutees Par conseacutequent des pirates peuvent profiter de cette situation pour reacuteussir agrave peacuteneacutetrer dans ces systegravemes et en utiliser les ressources associeacutees Les activiteacutes malveillantes visant les ordinateurs se multiplient largement aujourdrsquohui
Par exemple corrompre le noyau drsquoun systegraveme drsquoexploitation est particuliegraverement inteacuteressant du point de vue drsquoun attaquant parce que cela signifie corrompre potentiellement tous les logiciels qui srsquoexeacutecutent au-dessus de ce noyau Cela peut mecircme aller jusqursquoagrave la prise de controcircle complegravete du systegraveme par lrsquoattaquant Le noyau drsquoun systegraveme drsquoexploitation doit donc ecirctre fortement proteacutegeacute Mais proteacuteger un noyau de faccedilon efficace par des meacutecanismes de seacutecuriteacute est particuliegraverement deacutelicat car on peut facilement les contourner
Les entreprises pour la grande majoriteacute font face agrave ce type de problegraveme en se reposant sur les eacutediteurs du domaine de la seacutecuriteacute et font confiance aux solutions proposeacutees Or la multiplication des solutions techniques au regard du nombre croissant des attaques pose le problegraveme de la confiance relative qursquoapportent ces solutions problegraveme drsquoautant plus complexe degraves lors qursquoil srsquoagit de codes malveillants cibleacutes Ces solutions commerciales sont en effet destineacutees pour un public large et vont satisfaire aux attaques les plus courantes
En outre nous avons observeacute ces derniegraveres anneacutees une tendance agrave lrsquoutilisation de plus en plus systeacutematique drsquoapplications de protection logicielle du marcheacute par les auteurs de virus La vente de codes malveillants devient drsquoailleurs un commerce comme un autre On peut acqueacuterir deacutesormais agrave moindre coucirct tout type de programme hostile ou de service drsquoattaque cleacute en main le web canal eacutetant le canal de distribution ideacuteal
Lrsquoentreprise eacutevolue en permanence avec les technologies Une bonne compreacutehension de la menace virale rend indispensable une veille technologique et doit nous interroger en permanence sur notre politique de seacutecuriteacute et cela quelle que soit la taille de lrsquoentreprise
13 Les virus et les infections informatiques
La formalisation des virus
Les travaux de Fred Cohen en 1986 et Leacuteonard Adleman en 1988 constituent les fondements de la virologie Un virus au sens Cohen peut ecirctre formaliseacute par un mot sur le ruban (zone meacutemoire) drsquoune machine de Turing [1] qui se duplique ou se modifie sur ce mecircme ruban lorsqursquoil est activeacute La modeacutelisation de la laquo machine de Turing raquo consiste agrave deacutecrire une repreacutesentation abstraite et geacuteneacuterale drsquoun ordinateur et des programmes susceptibles drsquoecirctre exeacutecuteacutes sur cet ordinateur
La notion de laquo reacuteplication automatique raquo est une caracteacuteristique primordiale du virus Adleman propose un terme plus geacuteneacuteral celui drsquo laquo infection informatique raquo La reacuteplication
16 juin 2011
nrsquoentre pas dans sa deacutefinition qui est alors eacutelargie agrave tout programme nuisible pour la machine ou lrsquoutilisateur Ses travaux ont eacuteteacute repris et compleacuteteacutes par les auteurs de [3] qui eacutetablissent un cadre formel et les deacutemonstrations des theacuteories drsquoAdleman Malgreacute un fondement theacuteorique original solide les approches fondamentales au problegraveme des programmes malveillants sont assez rares Nous trouvons finalement assez peu de contributions vraiment nouvelles sur le sujet dans ce domaine en pregraves de vingt cinq ans drsquoexistence (depuis la thegravese de Cohen [1])
Dans son livre Eric Filiol [4] propose la deacutefinition 1 suivante pour une infection informatique ou malware et souligne avec la figure ci-dessous qursquoil srsquoagit drsquoune notion complexe
Malware (malicious+software) = logiciel malveillant = une infection informatique
Les reacutesultats des recherches theacuteoriques ont permis de deacutefinir agrave la fois les virus informatiques et autres infections informatiques et leur ineacutevitable et indispensable contrepartie la deacutefense et la lutte antivirale
Deacutefinition 1 Programme simple ou auto-reproducteur agrave caractegravere offensif srsquoinstallant dans un systegraveme drsquoinformation agrave lrsquoinsu du ou des utilisateurs en vue de porter atteinte agrave la confidentialiteacute lrsquointeacutegriteacute ou la disponibiliteacute de ce systegraveme ou susceptible drsquoincriminer agrave tort son possesseur ou lrsquoutilisateur dans la reacutealisation drsquoun crime ou drsquoun deacutelit La figure est issu
La figure 131 ci-dessus preacutesente la classification des infections informatiques (Source EFILIOL)
Cette deacutefinition deacutepasse la notion stricte de virus informatiques insiste sur le caractegravere deacutelictueux de telles pratiques la non information du possesseur de lordinateur infecteacute et dans les cas graves sur sa responsabiliteacute peacutenale Le deuxiegraveme chapitre de notre eacutetude donnera quelques repegraveres juridiques
Un programme simple contient une fonctionnaliteacute malveillante cacheacutee qui est appeleacutee agrave se deacuteclencher agrave un instant donneacute sur un critegravere donneacute Il ny a pas propagation Ce programme doit ecirctre introduit (volontairement ou non) dans lordinateur cibleacute On le retrouvera en seul exemplaireLorsque lutilisateur exeacutecute le programme la fonctionnaliteacute malveillante (payload) sexeacutecute immeacutediatement Une action destructive ou simplement perturbatrice est alors mise en œuvre Selon son but elle sera visible ou non par lutilisateur Une fois laction
16 juin 2011
accomplie le programme se termine Il nest geacuteneacuteralement pas reacutesident en meacutemoire On retrouve dans cette famille la Bombe Logique et le Cheval de Troie
Dans un premier temps nous effectuerons une classification des malware selon leur charge virale crsquoest-agrave-dire le mode drsquoaction de lrsquoattaque Nous aborderons ensuite les diffeacuterentes formes sous lesquelles les logiciels malveillants se deacuteclinent Il est agrave noter que certains aspects de lrsquoattaque virale comme le mode drsquoinfection ne seront pas deacutetailleacutes ici mais ils sont largement abordeacutes dans la litteacuterature La classification peut paraicirctre rassurante mais lrsquoimbrication des techniques virales rend cette derniegravere complexe
Classification des malwares par comportement
Les principaux types de malware peuvent se distinguer par leur mode drsquoaction geacuteneacuteral Cette classification (voir figure 131) est largement inspireacutee des travaux drsquoEric Filiol
Virus et vers Le virus est le type de malware le plus ancien et dont lrsquoeacutetude theacuteorique est la plus fournie A lrsquoinstar drsquoun virus en biologie un virus informatique est un programme auto-reproducteur Cette proprieacuteteacute est indeacutependante du but du malware qui peut ecirctre de diffeacuterente nature Les modes de reacuteplication peuvent diffeacuterer le virus peut se copier lui-mecircme srsquointeacutegrer dans un autre fichier exeacutecutable ou dans un fichier de donneacutees selon ce qursquoil vise
Avec lrsquoavegravenement drsquointernet les vers sont apparus Ce sont des virus qui se propagent par le reacuteseau Par leur mode de propagation rapide les vers et les virus ont eacuteteacute responsables des infections de grande envergure ces derniegraveres anneacutees (Conficker en 2008 avec pregraves de 9 millions de machines infecteacutees par exemple) Les virus infectent leurs cibles selon plusieurs modes drsquoinfection par eacutecrasement de code par recouvrement de code par entrelacement de code par accompagnement de code ou encore par infection de code source
Sans entrer plus en deacutetail nous donnons une classification issue de la litteacuterature de Filiol Parce que les programmeurs combinent plusieurs techniques il existe diffeacuterentes maniegraveres de classer les virus toutes privileacutegiant tel aspect ou tel autre parfois avec des recouvrements
- Selon le format viseacute virus drsquoexeacutecutables- Selon lrsquoorgane cible virus de secteur de boot de pilotes de peacuteripheacuteriques hellip- Selon le langage de programmation virus en assembleur virus de code sources
virus en langage interpreacuteteacutes hellip- Selon le comportement reacutesident furtif polymorphe hellip- Selon la nature de la charge finale virus espions virus destructeurs- Selon le mode de fonctionnement virus binaires virus psychologiques hellip
Les vers appartiennent agrave la famille des laquo auto-reproducteurs raquo Il est possible de les consideacuterer comme une sous-classe particuliegravere de virus Les vers utilisent donc les reacuteseaux pour envoyer des copies du code original vers dautres ordinateurs en utilisant de la bande passante et en exploitant des failles de seacutecuriteacute dans les machines connecteacutees au reacuteseau La deacutefinition drsquoun ver srsquoarrecircte agrave la maniegravere dont il se propage de machine en machine Un ver contrairement agrave un virus informatique na pas besoin dun programme hocircte pour se reproduire Les vers sont pourvus de trois fonctions principales une fonction de deacutecouverte de machines ougrave il pourra potentiellement se dupliquer (scan dadresses IP) une fonction
16 juin 2011
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
1 Fondements theacuteoriques de la virologie informatique
Ce chapitre donne un aperccedilu des fondamentaux de la virologie informatique et introduit le problegraveme de la deacutetection virale et des principaux problegravemes ouverts agrave cette discipline au regard de la complexiteacute
Une approche technique deacutetailleacutee est fournie dans le livre drsquoEFILIOL dont une partie de ce chapitre est issue Ce chapitre permet aussi agrave travers la compreacutehension des virus de caracteacuteriser les limites de la lutte antivirale et lrsquoinefficaciteacute des solutions du marcheacute
11 A propos de ce travail
Ce document sensibilise les parties prenantes de lrsquoentreprise agrave la neacutecessiteacute drsquoadopter une deacutemarche et un comportement responsable en matiegravere de seacutecurisation des systegravemes drsquoinformation notamment dans la menace que repreacutesente lrsquoutilisation drsquointernet Face agrave cette menace les entreprises et les directions sont-elles conscientes des impacts (financiers juridiques image) lieacutes agrave
- Une interruption de service des applications meacutetiers durant 4h 24h un mois- Une faille de confidentialiteacute permettant agrave un tiers drsquoobtenir des informations
strateacutegiques et confidentielles - Une perte de donneacutees Sauvegarde deacutefectueuse attaque virale sabotage - Une usurpation de droits remettant en cause lrsquointeacutegriteacute des donneacutees
Ce travail envisage la seacutecuriteacute sous un aspect global Une autre eacutetude pourrait davantage se concentrer sur une eacutevaluation comparative des solutions antivirale du marcheacute et des boitiers eacutelectroniques de tel ou tel constructeur Drsquoautres eacutetudes pourraient porter sur les actions malveillantes qui affectent lrsquointeacutegriteacute du noyau du systegraveme drsquoinformation ou sur les meacutethodes de cryptanalyse
Le document vise agrave donner des pistes de reacuteflexion geacuteneacuterique en matiegravere de seacutecuriteacute il sensibilise sur une conduite agrave tenir et nous aide agrave identifier ce que pourrait ecirctre une politique de seacutecuriteacute vis-agrave-vis de telle menace que repreacutesentent les logiciels malicieux
12 Contexte et probleacutematique
Tout le monde reconnaicirct maintenant que lrsquoutilisation des ordinateurs en particulier au travers du reacuteseau Internet est devenue essentielle dans la vie quotidienne des entreprises Chacun drsquoentre nous utilise un ordinateur pour travailler pour eacutechanger des informations pour faire des achats etc
Pour reacuteduire les coucircts de deacuteveloppement les systegravemes informatiques utilisent de plus en plus de composants sur eacutetagegravere (ou COTS pour Components Off-The-Shelf) mecircme pour des applications plus ou moins critiques Ces composants peuvent ecirctre des mateacuteriels (microprocesseurs chipsets) des logiciels de base (systegravemes drsquoexploitation outils de deacuteveloppement ou de configuration) des applications geacuteneacuteriques (base de donneacutees serveurs Web) ou deacutedieacutees agrave des fonctions plus speacutecifiques (pare-feux commande et controcircle) Ces composants eacutetant conccedilus pour ecirctre geacuteneacuteriques sont souvent beaucoup plus
16 juin 2011
complexes que ce qui est vraiment utile pour un systegraveme particulier Cette complexiteacute les fragilise vis-agrave-vis de la seacutecuriteacute En effet il est pratiquement impossible de les veacuterifier parfaitement crsquoest-agrave-dire de garantir drsquoune part lrsquoabsence de bogues et drsquoautre part lrsquoabsence de fonctions cacheacutees Par conseacutequent des pirates peuvent profiter de cette situation pour reacuteussir agrave peacuteneacutetrer dans ces systegravemes et en utiliser les ressources associeacutees Les activiteacutes malveillantes visant les ordinateurs se multiplient largement aujourdrsquohui
Par exemple corrompre le noyau drsquoun systegraveme drsquoexploitation est particuliegraverement inteacuteressant du point de vue drsquoun attaquant parce que cela signifie corrompre potentiellement tous les logiciels qui srsquoexeacutecutent au-dessus de ce noyau Cela peut mecircme aller jusqursquoagrave la prise de controcircle complegravete du systegraveme par lrsquoattaquant Le noyau drsquoun systegraveme drsquoexploitation doit donc ecirctre fortement proteacutegeacute Mais proteacuteger un noyau de faccedilon efficace par des meacutecanismes de seacutecuriteacute est particuliegraverement deacutelicat car on peut facilement les contourner
Les entreprises pour la grande majoriteacute font face agrave ce type de problegraveme en se reposant sur les eacutediteurs du domaine de la seacutecuriteacute et font confiance aux solutions proposeacutees Or la multiplication des solutions techniques au regard du nombre croissant des attaques pose le problegraveme de la confiance relative qursquoapportent ces solutions problegraveme drsquoautant plus complexe degraves lors qursquoil srsquoagit de codes malveillants cibleacutes Ces solutions commerciales sont en effet destineacutees pour un public large et vont satisfaire aux attaques les plus courantes
En outre nous avons observeacute ces derniegraveres anneacutees une tendance agrave lrsquoutilisation de plus en plus systeacutematique drsquoapplications de protection logicielle du marcheacute par les auteurs de virus La vente de codes malveillants devient drsquoailleurs un commerce comme un autre On peut acqueacuterir deacutesormais agrave moindre coucirct tout type de programme hostile ou de service drsquoattaque cleacute en main le web canal eacutetant le canal de distribution ideacuteal
Lrsquoentreprise eacutevolue en permanence avec les technologies Une bonne compreacutehension de la menace virale rend indispensable une veille technologique et doit nous interroger en permanence sur notre politique de seacutecuriteacute et cela quelle que soit la taille de lrsquoentreprise
13 Les virus et les infections informatiques
La formalisation des virus
Les travaux de Fred Cohen en 1986 et Leacuteonard Adleman en 1988 constituent les fondements de la virologie Un virus au sens Cohen peut ecirctre formaliseacute par un mot sur le ruban (zone meacutemoire) drsquoune machine de Turing [1] qui se duplique ou se modifie sur ce mecircme ruban lorsqursquoil est activeacute La modeacutelisation de la laquo machine de Turing raquo consiste agrave deacutecrire une repreacutesentation abstraite et geacuteneacuterale drsquoun ordinateur et des programmes susceptibles drsquoecirctre exeacutecuteacutes sur cet ordinateur
La notion de laquo reacuteplication automatique raquo est une caracteacuteristique primordiale du virus Adleman propose un terme plus geacuteneacuteral celui drsquo laquo infection informatique raquo La reacuteplication
16 juin 2011
nrsquoentre pas dans sa deacutefinition qui est alors eacutelargie agrave tout programme nuisible pour la machine ou lrsquoutilisateur Ses travaux ont eacuteteacute repris et compleacuteteacutes par les auteurs de [3] qui eacutetablissent un cadre formel et les deacutemonstrations des theacuteories drsquoAdleman Malgreacute un fondement theacuteorique original solide les approches fondamentales au problegraveme des programmes malveillants sont assez rares Nous trouvons finalement assez peu de contributions vraiment nouvelles sur le sujet dans ce domaine en pregraves de vingt cinq ans drsquoexistence (depuis la thegravese de Cohen [1])
Dans son livre Eric Filiol [4] propose la deacutefinition 1 suivante pour une infection informatique ou malware et souligne avec la figure ci-dessous qursquoil srsquoagit drsquoune notion complexe
Malware (malicious+software) = logiciel malveillant = une infection informatique
Les reacutesultats des recherches theacuteoriques ont permis de deacutefinir agrave la fois les virus informatiques et autres infections informatiques et leur ineacutevitable et indispensable contrepartie la deacutefense et la lutte antivirale
Deacutefinition 1 Programme simple ou auto-reproducteur agrave caractegravere offensif srsquoinstallant dans un systegraveme drsquoinformation agrave lrsquoinsu du ou des utilisateurs en vue de porter atteinte agrave la confidentialiteacute lrsquointeacutegriteacute ou la disponibiliteacute de ce systegraveme ou susceptible drsquoincriminer agrave tort son possesseur ou lrsquoutilisateur dans la reacutealisation drsquoun crime ou drsquoun deacutelit La figure est issu
La figure 131 ci-dessus preacutesente la classification des infections informatiques (Source EFILIOL)
Cette deacutefinition deacutepasse la notion stricte de virus informatiques insiste sur le caractegravere deacutelictueux de telles pratiques la non information du possesseur de lordinateur infecteacute et dans les cas graves sur sa responsabiliteacute peacutenale Le deuxiegraveme chapitre de notre eacutetude donnera quelques repegraveres juridiques
Un programme simple contient une fonctionnaliteacute malveillante cacheacutee qui est appeleacutee agrave se deacuteclencher agrave un instant donneacute sur un critegravere donneacute Il ny a pas propagation Ce programme doit ecirctre introduit (volontairement ou non) dans lordinateur cibleacute On le retrouvera en seul exemplaireLorsque lutilisateur exeacutecute le programme la fonctionnaliteacute malveillante (payload) sexeacutecute immeacutediatement Une action destructive ou simplement perturbatrice est alors mise en œuvre Selon son but elle sera visible ou non par lutilisateur Une fois laction
16 juin 2011
accomplie le programme se termine Il nest geacuteneacuteralement pas reacutesident en meacutemoire On retrouve dans cette famille la Bombe Logique et le Cheval de Troie
Dans un premier temps nous effectuerons une classification des malware selon leur charge virale crsquoest-agrave-dire le mode drsquoaction de lrsquoattaque Nous aborderons ensuite les diffeacuterentes formes sous lesquelles les logiciels malveillants se deacuteclinent Il est agrave noter que certains aspects de lrsquoattaque virale comme le mode drsquoinfection ne seront pas deacutetailleacutes ici mais ils sont largement abordeacutes dans la litteacuterature La classification peut paraicirctre rassurante mais lrsquoimbrication des techniques virales rend cette derniegravere complexe
Classification des malwares par comportement
Les principaux types de malware peuvent se distinguer par leur mode drsquoaction geacuteneacuteral Cette classification (voir figure 131) est largement inspireacutee des travaux drsquoEric Filiol
Virus et vers Le virus est le type de malware le plus ancien et dont lrsquoeacutetude theacuteorique est la plus fournie A lrsquoinstar drsquoun virus en biologie un virus informatique est un programme auto-reproducteur Cette proprieacuteteacute est indeacutependante du but du malware qui peut ecirctre de diffeacuterente nature Les modes de reacuteplication peuvent diffeacuterer le virus peut se copier lui-mecircme srsquointeacutegrer dans un autre fichier exeacutecutable ou dans un fichier de donneacutees selon ce qursquoil vise
Avec lrsquoavegravenement drsquointernet les vers sont apparus Ce sont des virus qui se propagent par le reacuteseau Par leur mode de propagation rapide les vers et les virus ont eacuteteacute responsables des infections de grande envergure ces derniegraveres anneacutees (Conficker en 2008 avec pregraves de 9 millions de machines infecteacutees par exemple) Les virus infectent leurs cibles selon plusieurs modes drsquoinfection par eacutecrasement de code par recouvrement de code par entrelacement de code par accompagnement de code ou encore par infection de code source
Sans entrer plus en deacutetail nous donnons une classification issue de la litteacuterature de Filiol Parce que les programmeurs combinent plusieurs techniques il existe diffeacuterentes maniegraveres de classer les virus toutes privileacutegiant tel aspect ou tel autre parfois avec des recouvrements
- Selon le format viseacute virus drsquoexeacutecutables- Selon lrsquoorgane cible virus de secteur de boot de pilotes de peacuteripheacuteriques hellip- Selon le langage de programmation virus en assembleur virus de code sources
virus en langage interpreacuteteacutes hellip- Selon le comportement reacutesident furtif polymorphe hellip- Selon la nature de la charge finale virus espions virus destructeurs- Selon le mode de fonctionnement virus binaires virus psychologiques hellip
Les vers appartiennent agrave la famille des laquo auto-reproducteurs raquo Il est possible de les consideacuterer comme une sous-classe particuliegravere de virus Les vers utilisent donc les reacuteseaux pour envoyer des copies du code original vers dautres ordinateurs en utilisant de la bande passante et en exploitant des failles de seacutecuriteacute dans les machines connecteacutees au reacuteseau La deacutefinition drsquoun ver srsquoarrecircte agrave la maniegravere dont il se propage de machine en machine Un ver contrairement agrave un virus informatique na pas besoin dun programme hocircte pour se reproduire Les vers sont pourvus de trois fonctions principales une fonction de deacutecouverte de machines ougrave il pourra potentiellement se dupliquer (scan dadresses IP) une fonction
16 juin 2011
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
complexes que ce qui est vraiment utile pour un systegraveme particulier Cette complexiteacute les fragilise vis-agrave-vis de la seacutecuriteacute En effet il est pratiquement impossible de les veacuterifier parfaitement crsquoest-agrave-dire de garantir drsquoune part lrsquoabsence de bogues et drsquoautre part lrsquoabsence de fonctions cacheacutees Par conseacutequent des pirates peuvent profiter de cette situation pour reacuteussir agrave peacuteneacutetrer dans ces systegravemes et en utiliser les ressources associeacutees Les activiteacutes malveillantes visant les ordinateurs se multiplient largement aujourdrsquohui
Par exemple corrompre le noyau drsquoun systegraveme drsquoexploitation est particuliegraverement inteacuteressant du point de vue drsquoun attaquant parce que cela signifie corrompre potentiellement tous les logiciels qui srsquoexeacutecutent au-dessus de ce noyau Cela peut mecircme aller jusqursquoagrave la prise de controcircle complegravete du systegraveme par lrsquoattaquant Le noyau drsquoun systegraveme drsquoexploitation doit donc ecirctre fortement proteacutegeacute Mais proteacuteger un noyau de faccedilon efficace par des meacutecanismes de seacutecuriteacute est particuliegraverement deacutelicat car on peut facilement les contourner
Les entreprises pour la grande majoriteacute font face agrave ce type de problegraveme en se reposant sur les eacutediteurs du domaine de la seacutecuriteacute et font confiance aux solutions proposeacutees Or la multiplication des solutions techniques au regard du nombre croissant des attaques pose le problegraveme de la confiance relative qursquoapportent ces solutions problegraveme drsquoautant plus complexe degraves lors qursquoil srsquoagit de codes malveillants cibleacutes Ces solutions commerciales sont en effet destineacutees pour un public large et vont satisfaire aux attaques les plus courantes
En outre nous avons observeacute ces derniegraveres anneacutees une tendance agrave lrsquoutilisation de plus en plus systeacutematique drsquoapplications de protection logicielle du marcheacute par les auteurs de virus La vente de codes malveillants devient drsquoailleurs un commerce comme un autre On peut acqueacuterir deacutesormais agrave moindre coucirct tout type de programme hostile ou de service drsquoattaque cleacute en main le web canal eacutetant le canal de distribution ideacuteal
Lrsquoentreprise eacutevolue en permanence avec les technologies Une bonne compreacutehension de la menace virale rend indispensable une veille technologique et doit nous interroger en permanence sur notre politique de seacutecuriteacute et cela quelle que soit la taille de lrsquoentreprise
13 Les virus et les infections informatiques
La formalisation des virus
Les travaux de Fred Cohen en 1986 et Leacuteonard Adleman en 1988 constituent les fondements de la virologie Un virus au sens Cohen peut ecirctre formaliseacute par un mot sur le ruban (zone meacutemoire) drsquoune machine de Turing [1] qui se duplique ou se modifie sur ce mecircme ruban lorsqursquoil est activeacute La modeacutelisation de la laquo machine de Turing raquo consiste agrave deacutecrire une repreacutesentation abstraite et geacuteneacuterale drsquoun ordinateur et des programmes susceptibles drsquoecirctre exeacutecuteacutes sur cet ordinateur
La notion de laquo reacuteplication automatique raquo est une caracteacuteristique primordiale du virus Adleman propose un terme plus geacuteneacuteral celui drsquo laquo infection informatique raquo La reacuteplication
16 juin 2011
nrsquoentre pas dans sa deacutefinition qui est alors eacutelargie agrave tout programme nuisible pour la machine ou lrsquoutilisateur Ses travaux ont eacuteteacute repris et compleacuteteacutes par les auteurs de [3] qui eacutetablissent un cadre formel et les deacutemonstrations des theacuteories drsquoAdleman Malgreacute un fondement theacuteorique original solide les approches fondamentales au problegraveme des programmes malveillants sont assez rares Nous trouvons finalement assez peu de contributions vraiment nouvelles sur le sujet dans ce domaine en pregraves de vingt cinq ans drsquoexistence (depuis la thegravese de Cohen [1])
Dans son livre Eric Filiol [4] propose la deacutefinition 1 suivante pour une infection informatique ou malware et souligne avec la figure ci-dessous qursquoil srsquoagit drsquoune notion complexe
Malware (malicious+software) = logiciel malveillant = une infection informatique
Les reacutesultats des recherches theacuteoriques ont permis de deacutefinir agrave la fois les virus informatiques et autres infections informatiques et leur ineacutevitable et indispensable contrepartie la deacutefense et la lutte antivirale
Deacutefinition 1 Programme simple ou auto-reproducteur agrave caractegravere offensif srsquoinstallant dans un systegraveme drsquoinformation agrave lrsquoinsu du ou des utilisateurs en vue de porter atteinte agrave la confidentialiteacute lrsquointeacutegriteacute ou la disponibiliteacute de ce systegraveme ou susceptible drsquoincriminer agrave tort son possesseur ou lrsquoutilisateur dans la reacutealisation drsquoun crime ou drsquoun deacutelit La figure est issu
La figure 131 ci-dessus preacutesente la classification des infections informatiques (Source EFILIOL)
Cette deacutefinition deacutepasse la notion stricte de virus informatiques insiste sur le caractegravere deacutelictueux de telles pratiques la non information du possesseur de lordinateur infecteacute et dans les cas graves sur sa responsabiliteacute peacutenale Le deuxiegraveme chapitre de notre eacutetude donnera quelques repegraveres juridiques
Un programme simple contient une fonctionnaliteacute malveillante cacheacutee qui est appeleacutee agrave se deacuteclencher agrave un instant donneacute sur un critegravere donneacute Il ny a pas propagation Ce programme doit ecirctre introduit (volontairement ou non) dans lordinateur cibleacute On le retrouvera en seul exemplaireLorsque lutilisateur exeacutecute le programme la fonctionnaliteacute malveillante (payload) sexeacutecute immeacutediatement Une action destructive ou simplement perturbatrice est alors mise en œuvre Selon son but elle sera visible ou non par lutilisateur Une fois laction
16 juin 2011
accomplie le programme se termine Il nest geacuteneacuteralement pas reacutesident en meacutemoire On retrouve dans cette famille la Bombe Logique et le Cheval de Troie
Dans un premier temps nous effectuerons une classification des malware selon leur charge virale crsquoest-agrave-dire le mode drsquoaction de lrsquoattaque Nous aborderons ensuite les diffeacuterentes formes sous lesquelles les logiciels malveillants se deacuteclinent Il est agrave noter que certains aspects de lrsquoattaque virale comme le mode drsquoinfection ne seront pas deacutetailleacutes ici mais ils sont largement abordeacutes dans la litteacuterature La classification peut paraicirctre rassurante mais lrsquoimbrication des techniques virales rend cette derniegravere complexe
Classification des malwares par comportement
Les principaux types de malware peuvent se distinguer par leur mode drsquoaction geacuteneacuteral Cette classification (voir figure 131) est largement inspireacutee des travaux drsquoEric Filiol
Virus et vers Le virus est le type de malware le plus ancien et dont lrsquoeacutetude theacuteorique est la plus fournie A lrsquoinstar drsquoun virus en biologie un virus informatique est un programme auto-reproducteur Cette proprieacuteteacute est indeacutependante du but du malware qui peut ecirctre de diffeacuterente nature Les modes de reacuteplication peuvent diffeacuterer le virus peut se copier lui-mecircme srsquointeacutegrer dans un autre fichier exeacutecutable ou dans un fichier de donneacutees selon ce qursquoil vise
Avec lrsquoavegravenement drsquointernet les vers sont apparus Ce sont des virus qui se propagent par le reacuteseau Par leur mode de propagation rapide les vers et les virus ont eacuteteacute responsables des infections de grande envergure ces derniegraveres anneacutees (Conficker en 2008 avec pregraves de 9 millions de machines infecteacutees par exemple) Les virus infectent leurs cibles selon plusieurs modes drsquoinfection par eacutecrasement de code par recouvrement de code par entrelacement de code par accompagnement de code ou encore par infection de code source
Sans entrer plus en deacutetail nous donnons une classification issue de la litteacuterature de Filiol Parce que les programmeurs combinent plusieurs techniques il existe diffeacuterentes maniegraveres de classer les virus toutes privileacutegiant tel aspect ou tel autre parfois avec des recouvrements
- Selon le format viseacute virus drsquoexeacutecutables- Selon lrsquoorgane cible virus de secteur de boot de pilotes de peacuteripheacuteriques hellip- Selon le langage de programmation virus en assembleur virus de code sources
virus en langage interpreacuteteacutes hellip- Selon le comportement reacutesident furtif polymorphe hellip- Selon la nature de la charge finale virus espions virus destructeurs- Selon le mode de fonctionnement virus binaires virus psychologiques hellip
Les vers appartiennent agrave la famille des laquo auto-reproducteurs raquo Il est possible de les consideacuterer comme une sous-classe particuliegravere de virus Les vers utilisent donc les reacuteseaux pour envoyer des copies du code original vers dautres ordinateurs en utilisant de la bande passante et en exploitant des failles de seacutecuriteacute dans les machines connecteacutees au reacuteseau La deacutefinition drsquoun ver srsquoarrecircte agrave la maniegravere dont il se propage de machine en machine Un ver contrairement agrave un virus informatique na pas besoin dun programme hocircte pour se reproduire Les vers sont pourvus de trois fonctions principales une fonction de deacutecouverte de machines ougrave il pourra potentiellement se dupliquer (scan dadresses IP) une fonction
16 juin 2011
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
nrsquoentre pas dans sa deacutefinition qui est alors eacutelargie agrave tout programme nuisible pour la machine ou lrsquoutilisateur Ses travaux ont eacuteteacute repris et compleacuteteacutes par les auteurs de [3] qui eacutetablissent un cadre formel et les deacutemonstrations des theacuteories drsquoAdleman Malgreacute un fondement theacuteorique original solide les approches fondamentales au problegraveme des programmes malveillants sont assez rares Nous trouvons finalement assez peu de contributions vraiment nouvelles sur le sujet dans ce domaine en pregraves de vingt cinq ans drsquoexistence (depuis la thegravese de Cohen [1])
Dans son livre Eric Filiol [4] propose la deacutefinition 1 suivante pour une infection informatique ou malware et souligne avec la figure ci-dessous qursquoil srsquoagit drsquoune notion complexe
Malware (malicious+software) = logiciel malveillant = une infection informatique
Les reacutesultats des recherches theacuteoriques ont permis de deacutefinir agrave la fois les virus informatiques et autres infections informatiques et leur ineacutevitable et indispensable contrepartie la deacutefense et la lutte antivirale
Deacutefinition 1 Programme simple ou auto-reproducteur agrave caractegravere offensif srsquoinstallant dans un systegraveme drsquoinformation agrave lrsquoinsu du ou des utilisateurs en vue de porter atteinte agrave la confidentialiteacute lrsquointeacutegriteacute ou la disponibiliteacute de ce systegraveme ou susceptible drsquoincriminer agrave tort son possesseur ou lrsquoutilisateur dans la reacutealisation drsquoun crime ou drsquoun deacutelit La figure est issu
La figure 131 ci-dessus preacutesente la classification des infections informatiques (Source EFILIOL)
Cette deacutefinition deacutepasse la notion stricte de virus informatiques insiste sur le caractegravere deacutelictueux de telles pratiques la non information du possesseur de lordinateur infecteacute et dans les cas graves sur sa responsabiliteacute peacutenale Le deuxiegraveme chapitre de notre eacutetude donnera quelques repegraveres juridiques
Un programme simple contient une fonctionnaliteacute malveillante cacheacutee qui est appeleacutee agrave se deacuteclencher agrave un instant donneacute sur un critegravere donneacute Il ny a pas propagation Ce programme doit ecirctre introduit (volontairement ou non) dans lordinateur cibleacute On le retrouvera en seul exemplaireLorsque lutilisateur exeacutecute le programme la fonctionnaliteacute malveillante (payload) sexeacutecute immeacutediatement Une action destructive ou simplement perturbatrice est alors mise en œuvre Selon son but elle sera visible ou non par lutilisateur Une fois laction
16 juin 2011
accomplie le programme se termine Il nest geacuteneacuteralement pas reacutesident en meacutemoire On retrouve dans cette famille la Bombe Logique et le Cheval de Troie
Dans un premier temps nous effectuerons une classification des malware selon leur charge virale crsquoest-agrave-dire le mode drsquoaction de lrsquoattaque Nous aborderons ensuite les diffeacuterentes formes sous lesquelles les logiciels malveillants se deacuteclinent Il est agrave noter que certains aspects de lrsquoattaque virale comme le mode drsquoinfection ne seront pas deacutetailleacutes ici mais ils sont largement abordeacutes dans la litteacuterature La classification peut paraicirctre rassurante mais lrsquoimbrication des techniques virales rend cette derniegravere complexe
Classification des malwares par comportement
Les principaux types de malware peuvent se distinguer par leur mode drsquoaction geacuteneacuteral Cette classification (voir figure 131) est largement inspireacutee des travaux drsquoEric Filiol
Virus et vers Le virus est le type de malware le plus ancien et dont lrsquoeacutetude theacuteorique est la plus fournie A lrsquoinstar drsquoun virus en biologie un virus informatique est un programme auto-reproducteur Cette proprieacuteteacute est indeacutependante du but du malware qui peut ecirctre de diffeacuterente nature Les modes de reacuteplication peuvent diffeacuterer le virus peut se copier lui-mecircme srsquointeacutegrer dans un autre fichier exeacutecutable ou dans un fichier de donneacutees selon ce qursquoil vise
Avec lrsquoavegravenement drsquointernet les vers sont apparus Ce sont des virus qui se propagent par le reacuteseau Par leur mode de propagation rapide les vers et les virus ont eacuteteacute responsables des infections de grande envergure ces derniegraveres anneacutees (Conficker en 2008 avec pregraves de 9 millions de machines infecteacutees par exemple) Les virus infectent leurs cibles selon plusieurs modes drsquoinfection par eacutecrasement de code par recouvrement de code par entrelacement de code par accompagnement de code ou encore par infection de code source
Sans entrer plus en deacutetail nous donnons une classification issue de la litteacuterature de Filiol Parce que les programmeurs combinent plusieurs techniques il existe diffeacuterentes maniegraveres de classer les virus toutes privileacutegiant tel aspect ou tel autre parfois avec des recouvrements
- Selon le format viseacute virus drsquoexeacutecutables- Selon lrsquoorgane cible virus de secteur de boot de pilotes de peacuteripheacuteriques hellip- Selon le langage de programmation virus en assembleur virus de code sources
virus en langage interpreacuteteacutes hellip- Selon le comportement reacutesident furtif polymorphe hellip- Selon la nature de la charge finale virus espions virus destructeurs- Selon le mode de fonctionnement virus binaires virus psychologiques hellip
Les vers appartiennent agrave la famille des laquo auto-reproducteurs raquo Il est possible de les consideacuterer comme une sous-classe particuliegravere de virus Les vers utilisent donc les reacuteseaux pour envoyer des copies du code original vers dautres ordinateurs en utilisant de la bande passante et en exploitant des failles de seacutecuriteacute dans les machines connecteacutees au reacuteseau La deacutefinition drsquoun ver srsquoarrecircte agrave la maniegravere dont il se propage de machine en machine Un ver contrairement agrave un virus informatique na pas besoin dun programme hocircte pour se reproduire Les vers sont pourvus de trois fonctions principales une fonction de deacutecouverte de machines ougrave il pourra potentiellement se dupliquer (scan dadresses IP) une fonction
16 juin 2011
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
accomplie le programme se termine Il nest geacuteneacuteralement pas reacutesident en meacutemoire On retrouve dans cette famille la Bombe Logique et le Cheval de Troie
Dans un premier temps nous effectuerons une classification des malware selon leur charge virale crsquoest-agrave-dire le mode drsquoaction de lrsquoattaque Nous aborderons ensuite les diffeacuterentes formes sous lesquelles les logiciels malveillants se deacuteclinent Il est agrave noter que certains aspects de lrsquoattaque virale comme le mode drsquoinfection ne seront pas deacutetailleacutes ici mais ils sont largement abordeacutes dans la litteacuterature La classification peut paraicirctre rassurante mais lrsquoimbrication des techniques virales rend cette derniegravere complexe
Classification des malwares par comportement
Les principaux types de malware peuvent se distinguer par leur mode drsquoaction geacuteneacuteral Cette classification (voir figure 131) est largement inspireacutee des travaux drsquoEric Filiol
Virus et vers Le virus est le type de malware le plus ancien et dont lrsquoeacutetude theacuteorique est la plus fournie A lrsquoinstar drsquoun virus en biologie un virus informatique est un programme auto-reproducteur Cette proprieacuteteacute est indeacutependante du but du malware qui peut ecirctre de diffeacuterente nature Les modes de reacuteplication peuvent diffeacuterer le virus peut se copier lui-mecircme srsquointeacutegrer dans un autre fichier exeacutecutable ou dans un fichier de donneacutees selon ce qursquoil vise
Avec lrsquoavegravenement drsquointernet les vers sont apparus Ce sont des virus qui se propagent par le reacuteseau Par leur mode de propagation rapide les vers et les virus ont eacuteteacute responsables des infections de grande envergure ces derniegraveres anneacutees (Conficker en 2008 avec pregraves de 9 millions de machines infecteacutees par exemple) Les virus infectent leurs cibles selon plusieurs modes drsquoinfection par eacutecrasement de code par recouvrement de code par entrelacement de code par accompagnement de code ou encore par infection de code source
Sans entrer plus en deacutetail nous donnons une classification issue de la litteacuterature de Filiol Parce que les programmeurs combinent plusieurs techniques il existe diffeacuterentes maniegraveres de classer les virus toutes privileacutegiant tel aspect ou tel autre parfois avec des recouvrements
- Selon le format viseacute virus drsquoexeacutecutables- Selon lrsquoorgane cible virus de secteur de boot de pilotes de peacuteripheacuteriques hellip- Selon le langage de programmation virus en assembleur virus de code sources
virus en langage interpreacuteteacutes hellip- Selon le comportement reacutesident furtif polymorphe hellip- Selon la nature de la charge finale virus espions virus destructeurs- Selon le mode de fonctionnement virus binaires virus psychologiques hellip
Les vers appartiennent agrave la famille des laquo auto-reproducteurs raquo Il est possible de les consideacuterer comme une sous-classe particuliegravere de virus Les vers utilisent donc les reacuteseaux pour envoyer des copies du code original vers dautres ordinateurs en utilisant de la bande passante et en exploitant des failles de seacutecuriteacute dans les machines connecteacutees au reacuteseau La deacutefinition drsquoun ver srsquoarrecircte agrave la maniegravere dont il se propage de machine en machine Un ver contrairement agrave un virus informatique na pas besoin dun programme hocircte pour se reproduire Les vers sont pourvus de trois fonctions principales une fonction de deacutecouverte de machines ougrave il pourra potentiellement se dupliquer (scan dadresses IP) une fonction
16 juin 2011
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
dexploitation de failles pour se reproduire (une faille dans un service reacuteseau) et une fonction daction malveillante une fois quune nouvelle victime est infecteacutee (installation dun cheval de Troie par exemple) Les modes de propagation courants sont lrsquointernet les emails les reacuteseaux sociauxhellip On citera les vers simples (encore appeleacutes Worm) les macro- vers et les vers drsquoemails Ils exploitent les diffeacuterentes ressources de lordinateur qui lheacuteberge pour assurer sa reproduction Lobjectif dun ver nest pas seulement de se reproduire Le ver a aussi habituellement un objectif malfaisant par exemple
- espionner lordinateur ougrave il se trouve - offrir une porte deacuterobeacutee agrave des pirates informatiques - deacutetruire des donneacutees sur lordinateur ougrave il se trouve ou y faire dautres deacutegacircts - envoyer de multiples requecirctes vers un serveur Internet dans le but de le saturer (deacuteni
de service)Lactiviteacute dun ver a souvent des effets secondaires comme
- le ralentissement de la machine infecteacutee - le ralentissement du reacuteseau utiliseacute par la machine infecteacutee - le plantage de services ou du systegraveme dexploitation de la machine infecteacutee
La surveillance des reacuteseaux interne est agrave privileacutegier pour ce type drsquoinfection Le chapitre 3 traitera de ces aspects dans les moyens drsquoaudit (Preacutevention)
Bombe logique Une bombe logique est un malware qui attend un eacuteveacutenement (date action) pour srsquoactiver Ces conditions peuvent reposer sur une opportuniteacute (systegraveme vulneacuterable agrave lrsquoattaque du virus) ou sur la cible de lrsquoattaque (une configuration reacuteseau particuliegravere) Le programme se comportera de maniegravere beacutenigne jusqursquoagrave lrsquoactivation de cette ldquogacircchetterdquo et alors il exeacutecutera sa charge virale
Cheval de troie Un cheval de Troie souvent appeleacute Trojan en anglais est un type de logiciel malveillant conccedilu pour fournir un accegraves non autoriseacute agrave lordinateur dun utilisateur Les chevaux de Troie au contraire des vers ne se reacutepliquent pas eux-mecircmes ils nendommagent donc pas lordinateur ils fournissent juste une passerelle pour quun pirate puisse acceacuteder agrave distance agrave un ordinateur pour y effectuer certaines actions qui deacutependent du cheval de Troie et des privilegraveges de lutilisateur
Formes particuliegraveres deacuteriveacutees de malwares
Nous abordons ci-dessous quelques formes particuliegraveres de malwares qui ne sont que des cas particuliers des programmes simples ou auto-reproducteurs mais qui sont largement deacutecrits dans de nombreux articles et thegraveses
Enregistreur de frappe et logiciels espions Cette forme drsquoinfection nrsquoest qursquoun cas particulier de chevaux de Troie Les enregistreurs de frappe ou keylogger capturent les entreacutees de lrsquoutilisateur (typiquement les frappes au clavier) et les enregistrent afin de les transmettre agrave un attaquant Le but de ce genre de malware est souvent de reacutecupeacuterer des informations personnelles (mots de passe numeacutero de carte de creacutedit) qursquoil pourra ensuite utiliser agrave des fins frauduleuses Un logiciel espion ou spyware cherche eacutegalement agrave collecter des informations personnelles comme des mots de passe ou des informations sur lrsquoactiviteacute de la machine en faisant souvent appel agrave un enregistreur de frappe Ces donneacutees peuvent eacutegalement ecirctre utiliseacutees pour geacuteneacuterer de la publiciteacute cibleacutee
16 juin 2011
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Rootkit Cette derniegravere cateacutegorie contient les malware modifiant la phase de deacutemarrage de la machine De cette maniegravere les rootkits se placent entre la machine et le systegraveme drsquoexploitation en modifiant le noyau Ils peuvent alors par exemple intercepter les appels agrave la lecture physique des informations du disque dur et se rendre indeacutetectables par le systegraveme drsquoexploitation Leur nature furtive les rend particuliegraverement aptes agrave la reacutecolte drsquoinformations confidentielles Une thegravese reacutealiseacutee en 2009 par Eric Lacombe [5] deacutecrit plus en deacutetails ces meacutecanismes
Les virus psychologiques Les virus ou vers psychologiques sont une nouvelle menace qui repose principalement sur lrsquoeacuteleacutement humain Ils sont connus souvent sous lrsquoappellation joke (plaisanterie) ou haox (canular) Lrsquoauto-reproduction (propagation virale) passe par exemple par lrsquoutilisation intensive du mail des chaicircnes de solidariteacute Le contenu du message de deacutesinformation incite lrsquoutilisateur un peu creacutedule agrave produire lui-mecircme lrsquoeffet de la charge finale Nous citons par exemple un effet de saturation du reacuteseau ou un effacement de fichier systegraveme soi disant infecteacute
Porte deacuterobeacutee Un malware de type porte deacuterobeacutee ou laquo backdoor raquo est un programme permettant agrave un attaquant de controcircler la machine agrave distance En geacuteneacuteral un port est ouvert assurant les communications entre la machine infecteacutee et lrsquoattaquant tandis qursquoun programme de type console (shell sous linux par exemple) exeacutecute les commandes choisies par lrsquoattaquant
Les botnets Le terme laquo botnet raquo est formeacute de la concateacutenation des mots roBOT et NETwork Un botnet est un reacuteseau malveillant constitueacute de machines compromises (encore deacutenommeacutees laquo agents raquo laquo bots raquo ou machines laquo zombie raquo controcircleacutees agrave distance par une ou plusieurs entiteacutes et permettant une gestion distribueacutee drsquoactions offensives ou malveillantes Un botnet est une synthegravese algorithmique et fonctionnelle des diffeacuterents types de codes malveillants reacutefeacuterenceacutes dans la classification drsquoAdleman(Figure 131) -Les techniques autoreproductrices (virus et vers) sont impliqueacutees au niveau de la mise en place des diffeacuterents agents malicieux constituant un botnet (les laquo machines compromises raquo ou agents phase de propagation)-Les techniques drsquoinfections simples (bombes logiques et surtout chevaux de Troie) sont impliqueacutees dans la gestion des agents mis en place (le controcircle agrave distance)
Lrsquoeacuteleacutement nouveau dans le concept de botnet est cette notion de laquo gestion distribueacutee raquo Un botnet pourrait ecirctre vu comme un ver mettant en place un cheval de Troie geacuteneacuteraliseacute
Les virus documents Un virus de document est un code viral contenu dans un fichier de donneacutees non exeacutecutable activeacute par un interpreacuteteur contenu de faccedilon native dans lrsquoapplication associeacute au format de ce fichier (deacutetermineacute par son extension) Lrsquoactivation est reacutealiseacutee par une fonctionnaliteacute preacutevue dans lrsquoapplication (le plus freacutequent) ou par une faille interne de lrsquoapplication Un fichier PDF pourra par exemple contenir en son sein des exeacutecutables eacutecrits dans drsquoautres formats (vbs JShellip) La figure ci-dessous liste quelques formats et extensions courantes pouvant contenir des codes malveillants La colonne conteneur indique si crsquoest est un format de fichier pouvant contenir drsquoautres fichiers (Archives Zip Word hellip) Ce document est issu drsquoune eacutetude complegravete de PLAGADEC disponible agrave lrsquoadresse wwwssticorg
16 juin 2011
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Figure 132 Classification par formes de virus
Outre leur mode drsquoaction les malware se preacutesentent sous diffeacuterentes formes Nous distinguerons ici deux possibiliteacutes en opposant les programmes compileacutes des programmes interpreacuteteacutes
Malware compileacutes Les malware compileacutes sont les plus freacutequents Leur analyse est rendue difficile car ils sont non structureacutes La compilation eacutetant speacutecifique agrave chaque architecture ils sont peu ou pas portables drsquoun systegraveme drsquoexploitation agrave un autre
Malware interpreacuteteacutes Les logiciels malveillants eacutecrits en langage interpreacuteteacute comme les langages de script (bash sous linux ou php par exemple) preacutesentent lrsquoavantage drsquoecirctre portables sur diffeacuterents environnements drsquoexeacutecution Contrairement aux programmes compileacutes les malware interpreacuteteacutes contiennent lrsquointeacutegraliteacute du code de haut niveau dans la structure de leur fichier De ce fait ils sont plus simples agrave analyser automatiquement comme manuellement et donc plus facilement deacutetecteacutes
Il est agrave noter que de nombreux malware combinent les deux approches en ayant par exemple une partie fixe compileacutee servant agrave interpreacuteter une seconde partie qui pourra diffeacuterer selon les variantes du programme Nous avons vu une partie des malware constituant une menace pour les systegravemes ainsi que deux des formes sous lesquelles ils apparaissent Certaines des meacutethodes de deacutetection prennent en compte cette classification tandis que drsquoautres seront geacuteneacuteriques
Le cycle de vie dun virus informatique
Les virus informatiques tout comme les virus biologiques possegravedent un cycle de vie Si lrsquoon excepte la phase de conception et de test par le creacuteateur du virus trois phases dans la vie drsquoun virus ou drsquoun ver peuvent ecirctre identifieacutees La dureacutee de vie est plus ou moins longue selon le type de virus et lrsquoeffet rechercheacute
16 juin 2011
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Nous noterons que la phase de conception passe souvent par une eacutetape de recherche de renseignement Crsquoest donc un axe agrave deacutevelopper dans la lutte antivirale
Phase drsquoinfectionLa vie drsquoun virus commence par sa diffusion une fois qursquoil a eacuteteacute incorporeacute agrave un programme drsquoapparence inoffensive le dropper Un programme selon les principes de base de lrsquoingeacutenierie sociale peut ecirctre utiliseacute (Jeux en ligne site pornographique humour sont des standards tweet hellip)Le virus va se propager de deux maniegraveres dans lrsquoenvironnement informatique cible
Passivement le dropper est copieacute sur un support physique ou reacuteseauActivement lrsquoutilisateur exeacutecute le dropper
Phase drsquoincubationCrsquoest la plus grande partie de la vie drsquoun virus La mission principale de cette phase est drsquoassurer la survie du virus agrave travers toutes ces copies dans lrsquoenvironnement cible Il srsquoagit de limiter voire drsquoempecirccher sa deacutetection
Phase de maladieLors de cette phase la charge finale est activeacutee
Un exemple virus par eacutecrasement de code
Ces virus sont aussi appeleacutes virus agissant par recouvrement de code Lorsque le virus est exeacutecuteacute via un programme infecteacute il infecte les cibles preacutealablement identifieacutees par la routine de recherche en eacutecrasant leur code exeacutecutable avec son propre code
Figure 133 Exemple de virus par eacutecrasement de code (virus UNIX_OWR) (Source EFILIOL)
14 Formalisation de la lutte antivirale
Diffeacuterentes meacutethodes de deacutetection
Nous ne nous inteacuteresserons ici qursquoaux meacutecanismes de classement drsquoun fichier cherchant agrave deacuteterminer si ce dernier est beacutenin ou malveillantDiffeacuterents raisonnements existent dans le domaine de la deacutetection des logiciels malveillants et deux approches geacuteneacuterales srsquoopposent
16 juin 2011
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
La premiegravere consiste en la recherche systeacutematique de fichiers connus par avance et dont une signature a eacuteteacute extraite Cette signature compareacutee au fichier analyseacute permet de deacuteterminer si celui-ci est malveillant ou non Cette technique est bien rodeacutee et reste la principale meacutethode utiliseacutee par les solutions commerciales
La seconde encore principalement issu du domaine de la recherche est une approche par comportement Elle srsquoattache particuliegraverement agrave lrsquoobservation des actions entreprises par le programme analyseacute afin de deacuteterminer srsquoil preacutesente un risque ou non
Analyse formelle du problegraveme de deacutetection
Le problegraveme de deacutetection des malware peut se formaliser Nous preacutesentons ici un aperccedilu simple de diffeacuterents travaux dans ce domaine
Les travaux fondateurs de Fred Cohen se basant sur la deacutefinition drsquoun virus comme programme autoreproducteur sur une machine de Turing aboutissent agrave un theacuteoregraveme fondateur Celui-ci stipule que le problegraveme de deacutetection est indeacutecidable
Un corollaire important est qursquoil est toujours possible de leurrer un logiciel antivirus
Crsquoest-agrave-dire qursquoil nrsquoexiste pas de programme capable sans erreur de deacutecider si tel programme passeacute en entreacutee est malveillant Et ce quelles que soient les connaissances a priori sur des virus ou des programmes beacutenins connus Par conseacutequence aucune approche classique par signature ne peut ecirctre complegravete
Lrsquoapproche de Leacuteonard Adleman complegravete les travaux de Cohen et aboutit au reacutesultat suivant dans le cas plus geacuteneacuteral des infections informatiques La deacutetection de certains malware et de leurs variantes est un problegraveme dit incomplet crsquoest-agrave-dire soit non calculable soit semi-calculable Il srsquoagit de ce fait drsquoun problegraveme plus difficile que celui de lrsquoarrecirct drsquoun programme qui est deacutejagrave indeacutecidable
Le problegraveme de la deacutetection quelle que soit lrsquoapproche theacuteorique reacutealiseacutee est donc formellement tregraves difficile et souvent non calculable Les approches pratiques ne peuvent donc pas ecirctre parfaites mecircme si de nombreuses voies drsquoameacutelioration sont eacutetudieacutees
Drsquoautres notions ont eacuteteacute formaliseacutees tels lrsquoindice infectieux lrsquoindice drsquoinfection ou encore la virulence Les travaux drsquoEric Filiol deacutecrivent ces indices
Les techniques antivirales
Les techniques antivirales statiques
Recherche de signatures
Cette technique est largement reacutepandue Une signature est simplement une suite drsquoassertions sur les octets constituant le code agrave analyser Le processus de creacuteation des
16 juin 2011
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
signatures neacutecessite une bonne connaissance du code analyseacute (binaire ou code interpreacuteteacute) et de ce fait a recours agrave des analystes humains
A partir drsquoun programme connu comme malveillant lrsquoanalyste tente drsquoextraire la plus petite suite drsquooctets caracteacuterisant ce programme et eacuteventuellement ses variantes Cette signature doit ecirctre suffisamment discriminante afin de ne pas classer agrave tort un fichier sain comme malveillant Une technique simple consiste agrave prendre une suite drsquooctets conseacutecutifs dans le fichier Une base de signatures est remplie avec les signatures des diffeacuterents malware connus agrave deacutetecter Scanner un fichier revient agrave rechercher les diffeacuterentes signatures au sein du fichier classant le fichier comme malveillant lorsqursquoune correspondance a eacuteteacute trouveacutee Le but est aussi drsquoatteindre les deux objectifs de minimisation des faux-positifs et la deacutetection de variantesEn geacuteneacuteral seules peu drsquoinstructions sont deacuteterminantes pour classer un programme il peut aussi srsquoagir drsquoune suite drsquoinstructions disseacutemineacutees dans le fichier (par exemple toutes les instructions modifiant la valeur drsquoun registre speacutecifique) (Voir Fig 142 Source SUPELEC)
Figure 142 extrait de programme et sa signature
Limites de lrsquoapproche par signature
Lrsquoanalyse de produits du commerce montre lrsquoutilisation massive faite de cette approche ainsi que son manque de robustesse face agrave des techniques simples drsquo laquo obfuscation raquo [6] Lrsquo laquo obfuscation raquo de code consiste agrave appliquer des transformations sur le code afin de le rendre suffisamment diffeacuterent du code original pour qursquoil ne soit plus deacutetecteacute par un antivirus reconnaissant lrsquooriginal Ces transformations doivent cependant respecter lrsquoexeacutecution du programme initial en particulier lrsquoensemble des sorties du programme original doit ecirctre inclus dans celui du programme laquoobfusqueacute raquo Nous donnons ci-dessous quelques techniques drsquo laquoobfusquation raquo
Insertion de code inutile Cela consiste agrave intercaler simplement dans le fichier agrave laquo obfusquer raquo des instructions suppleacutementaires sans modifier le comportement du programme initial Ces ajouts peuvent ecirctre faits dans un code de haut niveau comme dans un programme binaire seule la syntaxe des instructions ajouteacutees change
Reacuteorganisation du code Cette opeacuteration revient agrave modifier lrsquoordre physique du code sans modifier son ordre drsquoexeacutecution En langage assembleur lrsquoajout drsquoinstructions de saut inconditionnel le permet
Encapsulation du code Il srsquoagit drsquoeacutecrire les instructions sous une forme ne deacutevoilant pas leur sens Elle peut ecirctre reacutealiseacutee agrave lrsquoaide drsquoun encodage particulier (en hexadeacutecimal par exemple) de compression (au format ZIP par exemple) ou de chiffrement Ces transformations modifient grandement la syntaxe du programme sans en modifier les
16 juin 2011
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
instructions qui seront exeacutecuteacutees au final Souvent une partie du programme sera deacutedieacutee agrave lrsquointerpreacutetation de la partie laquo obfusqueacutee raquo
Les reacutesultats obtenus preacutesenteacutes dans la figure 143 donnent un reacutesultat de pourcentage de virus non deacutetecteacutes apregraves laquo obfuscation raquo [16] pour chaque antivirus Le cas de la reacuteorganisation est particuliegraverement inteacuteressant En effet les taux de faux neacutegatif sont de 67 88 et 58 alors que la transformation effectueacutee ne modifie ni les instructions ni leur ordre reacuteel drsquoexeacutecution
Figure 143 Taux de faux neacutegatif - obfuscation- Source SUPELEC
Il apparaicirct donc clair que la meacutethode de deacutetection par signature simple telle qursquoelle est largement pratiqueacutee encore aujourdrsquohui nrsquoest pas suffisante Cet effet est drsquoautant plus gecircnant que ces modifications du code peuvent ecirctre faites de maniegravere automatique par un virus cherchant agrave se rendre furtif aux yeux drsquoun antivirus Le temps neacutecessaire agrave la geacuteneacuteration et la diffusion de la signature de chaque nouvelle souche laisse au virus une fenecirctre temporelle suffisamment large pour se reacutepandre
En outre nous recensons trois autres types drsquoanalyses statiques
Lrsquoanalyse spectrale qui consiste agrave eacutetablir la liste des instructions drsquoun programme et agrave y rechercher des instructions peu courantes
Lrsquoanalyse heuristique qui consiste agrave utiliser des regravegles des strateacutegies en vue de lrsquoeacutetude drsquoun comportement drsquoun programme Ces deux meacutethodes sont reacuteputeacutees peu fiables et remontent des fausses alertes
Le controcircle drsquointeacutegriteacute qui consiste agrave deacutetecter la modification anormale drsquoun fichier qui peut signaler sa contamination par un virus Pour mettre en œuvre cette meacutethode il faut calculer pour chaque fichier sensible une empreinte numeacuterique infalsifiable par une fonction de condensation (on dit aussi hachage) Constituer et mettre agrave jour une base de donneacutees de telles empreintes est difficile pratiquement et cette meacutethode est de moins en moins utiliseacutee
Les techniques antivirales dynamiques
Approche comportementale les meacutethodes de deacutetection dites comportementales cherchent agrave caracteacuteriser les actions normales pour un type de programme eacutetudieacute Deux approches sont donc possibles
16 juin 2011
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
La premiegravere tente de modeacuteliser les comportements malveillants et mesure lrsquoeacutecart entre le programme eacutevalueacute et les modegraveles connus
La seconde au contraire consiste agrave deacutefinir un ensemble de profils correspondant agrave des programmes leacutegitimes (client mail navigateur internet etc) agrave lrsquoaide drsquooutils statistiques et deacutetermine lrsquoeacutecart avec le programme testeacute Les modegraveles baseacutes sur des profils drsquoapplications leacutegitimes sont complexes agrave mettre en œuvre par la grande diversiteacute drsquoapplications de diffeacuterente nature sur un systegraveme Ils sont de fait tregraves sensibles aux faux positifs et deacutependent de lrsquoenvironnement sur lequel ils sont deacuteployeacutes Cette meacutethode eacutetant baseacutee sur le comportement des malware connus elle nrsquoest pas adapteacutee pour deacutetecter des logiciels malveillants utilisant des techniques innovantes
De nouvelles meacutethodes sont agrave lrsquoeacutetude telle que lrsquoanalyse morphologique ou le laquo data-tainting raquo Lrsquoanalyse morphologique des virus se base sur la reconnaissance de graphes de flot de controcircle (control flow graph ou CFG) de virus connus En ce sens il srsquoagit drsquoune approche par signature Les trois principales utilisations du data-tainting sont la deacutetection de vulneacuterabiliteacutes la protection de donneacutees sensibles et plus reacutecemment lrsquoanalyse de binairesmalveillants Nous citons ces meacutethodes agrave titre drsquoinformation qui semblent prometteuses
Nous avons vu au travers de ce chapitre les principales notions en termes de virologie et de programmes malveillants Les techniques antivirales et anti-antivirales sont nombreuses et proteacuteiformes La complexiteacute pour lutter efficacement contre ces logiciels malveillants qui tentent par tous les moyens de se rendre indeacutetectables est donc complexe Les chapitres suivants amegraveneront vers des pistes de reacuteflexion pour minimiser les risques induits
2 Etat des lieux
Ce chapitre est destineacute agrave recentrer la probleacutematique de la seacutecuriteacute dans un contexte plus geacuteneacuteral et agrave susciter la prise de conscience qursquoune deacutemarche seacutecuritaire organiseacutee est neacutecessaire par opposition agrave une suite de mesures techniques cibleacutees
21 Le danger du marketing
La formalisation des virus et celle de la lutte antivirale permettent de disposer drsquoune vision assez claire de la notion drsquoinfection informatique Nous sommes donc en mesure de comprendre pourquoi la notion de virus telle qursquoelle peut ecirctre prise dans lrsquoesprit du plus grand nombre est reacuteductrice et ne prend en compte qursquoune partie des choses Lrsquoimportance du reacutefeacuterentiel est eacutegalement renforceacutee gracircce agrave cette formalisation
Selon EFiliol il est indispensable de travailler sur de la matiegravere laquo brute raquo sur les codes sources des virus pour ecirctre capable drsquoagir lagrave ougrave lrsquoantivirus eacutechoue Les logiciels antivirus sont efficaces dans un contexte donneacute or ils sont commercialiseacutes avec une logique devant reacutepondre agrave toutes les entreprises la logique est donc contradictoire De plus la recherche et lrsquoeacutevaluation des produits posent problegraveme en France du fait de la leacutegislation Il est en effet risqueacute de conduire des tests offensifs mecircme dans le cadre de projets de recherche ce qui est preacutejudiciable pour les entreprises au final Drsquoautres travaux eacutegalement ne peuvent pas ecirctre communiqueacutes librement De maniegravere quasi systeacutematique ces tests
16 juin 2011
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
lorsqursquoils sont reacutealiseacutes sont remis en cause et leurs reacutesultats sont inquieacutetants [14] EFiliol explique par ailleurs pourquoi en France il nexiste pas de veacuteritable confeacuterence de hacking avec une vision de lattaquant (loi Gontrain) Au Luxembourg en Belgique en Allemagne et au Japon cest au contraire possible Selon EFiliol nous allons en France vers une forte laquo judiciarisation raquo et un controcircle des connaissances qui empecircchent dans certains cas davertir les citoyens de lexistence de problegravemes constat somme toute alarmisteIl semblerait aussi que les eacutediteurs amplifient les menaces quils savent geacuterer et minorent celles qui leur eacutechappent Les eacutediteurs parlent drsquoun million de programmes malveillants [15] Mais quest-ce qui permet de le veacuterifier Srsquoagit-il drsquoune deacutemarche fallacieuse de la part des eacutediteurs
Les utilisateurs finissent pourtant par croire que les solutions antivirus sont des outils parfaits mais il nrsquoen nrsquoest rien Les filtres laquo anti-tout raquo sont un leurre Les antivirus ne peuvent reacutepondre au deacutecalage permanent entre lrsquoapparition de nouveaux codes malveillants et la fourniture de parade Les limites de leur couverture leur capaciteacute de deacutetection et de deacutesinfection sont autant drsquoaspects de leurs imperfections intrinsegraveques
EFilol face agrave la menace potentielle que repreacutesentent les codes malveillants recommande donc des actions opeacuterationnelles (hygiegravene informatique) pour sen preacutemunir et proteacuteger ainsi le patrimoine informationnel et immateacuteriel Il met en lumiegravere lrsquoimportance de la dimension humaine dans la menace
Peacuteneacutetration des malwares
Sources CLUSIF (httpwwwclusiffr)
Marcheacute de la seacutecuriteacute informatique
Nous emprunterons ici quelques donneacutees quantitatives au Rapport Sophos 2009 sur la gestion des menaces agrave la seacutecuriteacute [17] qui eacutemane drsquoun grand eacutediteur drsquoantivirus ainsi qursquoaux eacutetudes classiques du groupe IDC
Sur le champ de bataille de la malfaisance informatique le vandalisme ludique cegravede de plus en plus de terrain agrave la criminaliteacute organiseacutee Les attaques virales massives trop vite repeacutereacutees se voient remplaceacutees par des infections moins visibles et moins deacutetectables qui eacutechappent agrave lrsquoattention Mais les types de menaces eacutevoluentEn deacutecembre 2005 la base de donneacutees de virus de Sophos recensait 114 000 virus vers chevaux de Troie et autres logiciels malfaisants dont 15 907 apparus en 2005En 2008 le stock eacutetait eacutevalueacute agrave plus de 11 millions de logiciels malveillants Drsquoapregraves le rapport citeacute en reacutefeacuterence en 2005 un message eacutelectronique sur 44 comportait une charge virale agrave la fin novembre 2005 peacuteriode marqueacutee par lrsquoeacutepideacutemie due au ver Sober-Z cette
16 juin 2011
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
proportion avait atteint 1 sur 12 Mais lrsquoenvoi de virus par piegravece jointe deacutecline fortement en 2008 ce nrsquoest plus qursquoun message sur 714 Mais il y a 97 de spam parmi les courriers eacutelectroniques en entreprise Lrsquoimmense majoriteacute des attaques visent des postes de travail eacutequipeacutes du systegraveme Windows de Microsoft Selon le site de lrsquoeacutediteur drsquoantivirus Sophos un ordinateur eacutequipeacute drsquoun systegraveme drsquoexploitation pour le grand public connecteacute agrave lrsquoInternet et deacutepourvu de protection (pare-feu antivirus) est exposeacute agrave un risque de contamination qui atteint 40 au bout de dix minutes 95 au bout drsquoune heure
Un marcheacute mondial sest constitueacute dans ce domaine qui en 2007 repreacutesentait selon la socieacuteteacute deacutetude Gartner un chiffre daffaire mondial de 104 milliards de dollars en pleine progression (Augmentation de 20 par rapport agrave 2006 en raison notamment de laugmentation du nombre de menaces 100 daugmentation de 2004 agrave 2007 selon la socieacuteteacute russe Kaspersky en raison de la croissance du parc dordinateurs)
Deacutepenses gouvernementales (US)
A titre indicatif en 2009 voici les deacutepenses preacutevisionnelles de cyberseacutecuriteacute de ladministration ameacutericaine [19] Ce marcheacute va donc devenir sans nul doute tregraves important dans les anneacutees agrave venir
2009 79 milliards de dollars ameacutericain2010 83 milliards de $2011 9 milliards de $2012 98 milliards de $2013 107 milliards de $2014 117 milliards de $
22 Eacutetat de la menace et perspectives
Les reacuteseaux drsquoentreprise sont donc exposeacutes agrave toutes sortes drsquoattaques informatiques qui vont du simple challenge entre hackers aux attaques cibleacutees par drsquoautres organisations ou entreprises concurrentes en passant par le sabotage de serveurs dans le but de discreacutediter lrsquoentreprise Les attaques internes semblent aussi en peacuteriode de crise eacuteconomique en augmentation En effet certains employeacutes de socieacuteteacutes informatiques se sentant menaceacutes provoquent des pannes inopineacutees pour prouver leur utiliteacute Les problegravemes de protection et de preacutevention contre les attaques informatiques sont donc de plus en plus complexes et varieacutes puisque - les entreprises sont de plus en plus deacutelocaliseacutees et donc disposent de reacuteseaux intranet etExtranet nationaux ouet mondiaux - Les entreprises recourent agrave la sous-traitance- Les services heacutebergeacutes (Cloud)- les attaques peuvent ecirctre externes et internes- les collaborateurs sont de plus en plus mobiles et donc les reacuteseaux drsquoaccegraves de plus en plus nombreux et varieacutes - la multiplication des applications- une menace perfide lrsquoingeacutenierie sociale
16 juin 2011
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Le premier semestre 2010 a eacuteteacute marqueacute par plusieurs attaques informatiques dirigeacutees vers les entreprises via des techniques dites dingeacutenierie sociale Sans ecirctre nouveau ce proceacutedeacute cybercriminel prend de plus en plus dampleur croissance correacuteleacutee agrave celle outils du web 20 A la diffeacuterence des autres techniques cybercriminelles lingeacutenierie sociale exploite avant tout le facteur humain et non la faille informatique (mecircme si les deux peuvent ecirctre combineacutes) deacuteduction de mots de passe sur la base dinformations recueillies sur les reacuteseaux sociaux ou au travers drsquoemail mise en confiance de la victime agrave des fins de manipulation
Les pirates exploitent labondance dinformations personnelles disponibles sur les sites de reacuteseaux sociaux pour cibler leurs attaques sur les individus cleacutes au sein des entreprises viseacutees La correacutelation entre ingeacutenierie sociale et croissance des reacuteseaux sociaux est donc notable Cest un type dattaque tregraves performant dans la mesure ougrave aucun logiciel ni mateacuteriel ne permet de sen deacutefendre efficacement Lingeacutenierie sociale deacutepend de la psychologie et ce sont donc les utilisateurs qui doivent apprendre agrave deacutemasquer et deacutejouer ses techniques Les emails promettant monts et merveilles puis lrsquohameccedilonnage restent les risques les plus importants de pertes de donneacutees lieacutees agrave lutilisation des meacutedias sociaux La sensibilisation des utilisateurs est dans ce cas primordiale [25]
Le reacutesultat de cette situation est qursquoune entreprise de taille moyenne deacutesirant se proteacuteger est confronteacutee agrave des dizaines voire des centaines de dispositions internes de seacutecuriteacutes couvrant les aspects reacuteseaux et applications Agrave ces dispositions de seacutecuriteacute sont aussi souvent associeacutees des donneacutees administratives nouvelles ou deacutejagrave existantes Ainsi le responsable des services informatiques et le responsable de la seacutecuriteacute doivent travailler de plus en plus en eacutetroite collaboration pour garantir la consistance des donneacutees administratives
Les techniques drsquoattaque des systegravemes en reacuteseau sont nombreuses et varieacutees La publication de programmes permettant drsquoexploiter les vulneacuterabiliteacutes des systegravemes ne renforce eacutevidemment pas la seacutecuriteacute de ces systegravemes et met gratuitement agrave la disposition des pirates de nombreux outils La peacuteneacutetration de tels systegravemes peut mettre en peacuteril la seacutecuriteacute de lrsquoensemble du reacuteseau et de ses services Par exemple si les serveurs DNS drsquoun opeacuterateur de teacuteleacutecommunication venaient agrave ecirctre indisponibles le reacuteseau entier et des services pourraient srsquoen trouver paralyseacutes
Les entreprises sont aujourdrsquohui bien conscientes de lrsquoutiliteacute drsquoune politique antivirale surtout apregraves les grandes attaques virales CodeRed Nimda et SQL Hammer [11] qui ont causeacute des deacutegacircts eacutevalueacutes agrave des millions drsquoeuros aux entreprises mal proteacutegeacutees Les pirates ont deacutemontreacute leur capaciteacute agrave impacter les reacuteseaux locaux ainsi que ceux des opeacuterateurs de communication
Nous pouvons alors partager le pessimisme drsquoEric Filiol quant agrave lrsquoavenir Le nombre de virus eacutecrits dans le monde augmente en permanence Avec lrsquoapparition de nouvelles fonctionnaliteacutes sur les teacuteleacutephones mobiles permises par les technologies Java on augmente la probabiliteacute de propagation des virus et les menaces qui pegravesent sur les reacuteseaux des entreprises le teacuteleacutephone eacutetant deacutesormais connecteacute au SI Lrsquoexistence de virus sur de tels appareils est deacutesormais une reacutealiteacute
La mutation la demande drsquointerconnexion le maillage des reacuteseaux augmentent en permanence la complexiteacute et posent naturellement le problegraveme de la seacuteparation de lrsquoanonymat et lrsquoidentification certaine drsquoun agresseur y est deacutelicate Les administrations
16 juin 2011
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
(civiles et militaires) sont drsquoailleurs de plus en plus connecteacutees au monde priveacute Pensons aussi un instant agrave la probleacutematique seacutecuritaire que supposent les reacuteseaux eacutelectriques intelligents et nous pouvons envisager lrsquoampleur des impacts et des conseacutequences que pourraient avoir un code malveillant sur les infrastructures en jeu [10] Ces reacuteseaux reposent en effet sur les TIC et sur le laquo cyberespace raquo Lrsquoarriveacutee des services et des techniques de deacutemateacuterialisation [12] poussera les entreprises un peu plus vers la culture de la seacutecuriteacute Quelques chiffres alarmants (source websence 2010)
39 des attaques par Internet visent agrave voler des donneacutees70 des 100 sites Web les plus visiteacutes ont connu des activiteacutes malveillantes
85 des courriers eacutelectroniques indeacutesirables contiennent des liens vers le Web95 des programmes malveillants qui figurent dans les courriers eacutelectroniques transitent par
Internet
Ces constats nous amegravenent agrave reacutefleacutechir et agrave repenser notre politique de deacutefense face agrave telles menaces Le chapitre trois donne une approche pour eacutetablir une ligne de conduite geacuteneacuterale de politique de seacutecuriteacute La menace est bien reacuteelle et lrsquoentreprise doit y faire face Le lecteur consultera le site httpwwwsenatfrrapr07-449r07-449html qui donne un aperccedilu sur les enjeux en termes de SSI
23 Protection juridique en matiegravere de cybercriminaliteacute
Il nous semble inteacuteressant de rappeler quelques eacuteleacutements de droit franccedilais en matiegravere de virologie informatique Chaque pays possegravede toutefois sa propre leacutegislation Le juriste retient des infections informatiques la notion unique de laquo programmes indeacutesirables raquo transmis ou introduits contre la volonteacute de lrsquoutilisateur ou du maicirctre du systegraveme Il nrsquoexiste pas de loi speacutecifique concernant les infections informatiques ces derniegraveres rentrent dans le cadre tregraves geacuteneacuteral de la loi sur la seacutecuriteacute informatique (loi Gontrain 2004 ) On notera que ces lois ne facilitent drsquoailleurs pas les travaux de recherche en matiegravere de virologie Les ordonnances [24] du code peacutenal 323-1 323-2 323-3 323-4 deacutecrivent les mesures contre les actes malveillants et les peines encourues (5 ans de prison 300 keuro drsquoamende dans certains cas) Se proteacuteger par la loi est donc une mesure envisageable pour les entreprises informatiseacutees [21] Lrsquoexemple [22] reacutecent drsquoun hacker condamneacute suite agrave un piratage du groupe Thales en teacutemoigne
Face aux menaces de la cybercriminaliteacute les entreprises doivent envisager de rendre les cyber-risques assurables Nous ne pourrons dans le cadre de cette eacutetude aborder ce sujet mais nous renvoyons le lecteur agrave un article de lrsquoUniversiteacute de Paris Dauphine [23] sur ces aspects Lrsquoentreprise se doit de mettre un ensemble de moyens pour donner confiance dans sa seacutecuriteacute de son SI Les reacutefeacuterentiels normatifs (ISO 27001 SMSI) peuvent aider les entreprises dans ce sens (Evaluation)
24 Bilan Pour lrsquoentreprise lrsquointernet est devenu une structure vitale pour son deacuteveloppement
eacuteconomique mais aussi une source de menaces proteacuteiformes tregraves importante comme nous venons de le voir La mise en place drsquoune organisation deacutefensive performante est donc
16 juin 2011
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
primordiale Aussi le choix drsquoune architecture de deacutefense est structurant pour une entreprise (temps budget ressources) Ces choix en matiegraveres technique organisationnelle et de mise en œuvre doivent srsquoinscrire dans une deacutemarche rationnelle et une approche systeacutemique La reacuteaction dans lrsquourgence est agrave exclure autant que possible Lrsquoindustrialisation des pratiques de seacutecuriteacute est un processus agrave geacuteneacuteraliser pour assurer une efficaciteacute opeacuterationnelle en matiegravere de protection Nous rappelons ci-dessous quelques objectifs majeurs que doit mettre en place une entreprise pour se proteacuteger
Le deacuteveloppement et lrsquoutilisation des produits de seacutecuriteacute Une capaciteacute de deacutetection preacutecoce des attaques une reacuteaction rapide la conduite agrave tenir en cas drsquoinfection une protection intrinsegraveque des systegravemes la surveillance en temps reacuteel des reacuteseaux les plus critiques Construire mettre en place et opeacuterer des systegravemes drsquoinformation de confiance Ameacuteliorer la reacutesilience de son systegraveme et surtout lrsquoimplication et la sensibilisation de lrsquoensemble de lrsquoorganisation hellip Une coheacuterence dans lrsquoensemble des mesures
Nous devons en deacuteduire que la seacutecuriteacute doit ecirctre traiteacutee comme un processus et non pas comme un produit Rien nrsquoest pire qursquoun faux sentiment de seacutecuriteacute engendreacute par une accumulation de ldquotrucsrdquo ou parce qursquoon a acheteacute tel logiciel de seacutecuriteacute Se pose peut- ecirctre le risque drsquoune deacuterive laquo techniciste raquo
On constate qursquoaucune solution technique antivirale ni plus largement les produits de seacutecuriteacute nrsquooffrent de garanties absolues Lrsquoentreprise informatiseacutee doit donc srsquoorganiser pour parer agrave toute eacuteventualiteacute Les aspects humains sont au cœur de toute strateacutegie de deacutefense et souvent restent le maillon de la chaicircne le plus faibleNous deacutevelopperons dans la troisiegraveme partie une approche possible dans la lutte contre les codes malveillants qui consiste agrave bacirctir un systegraveme de confiance baseacute agrave la fois sur une deacutefense en profondeur et sur un systegraveme de preacutevention performant
Comme le dit un proverbe chinois laquo si tu te connais sans connaicirctre ton ennemi pour chaque victoire il y aura eacutegalement une deacutefaite raquo Il est important de connaicirctre non seulement toutes les attaques possibles mais aussi les eacuteleacutements agrave proteacuteger comme nous allons tenter de le faire dans le chapitre suivant
3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
Lrsquoideacutee deacutefendue dans ce chapitre est de preacutesenter ce que pourrait ecirctre une approche meacutethodologique de seacutecurisation du systegraveme drsquoinformation et drsquoen recenser ses principales composantes afin drsquoavoir une reacuteflexion plus large dans le domaine Les codes malveillants peuvent endommager deacutetruire corrompre ou encore inhiber le systegraveme drsquoinformation de lrsquoentreprise Les conseacutequences sur une entreprise peuvent donc ecirctre extrecircmement diverses Nous citons agrave titre drsquoexemple lrsquoimpossibiliteacute de faire du commerce le vol de donneacutees confidentielles les deacutetournements financiers lrsquoespionnage industriel le vol de brevet la destruction de donneacutees hellip
16 juin 2011
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
31 Construire un systegraveme de confiance
Minimiser et limiter les risques passent avant tout par le deacuteveloppement drsquoune posture de deacutefense sur la base drsquoune bonne strateacutegie preacuteventive Une deacutemarche saine est de geacuterer lrsquoincertitude de maintenir une inquieacutetude raisonneacutee et drsquoentretenir une veacuteritable vigilance
Le systegraveme agrave proteacuteger se doit drsquoecirctre cartographieacute afin drsquoen connaicirctre ses forces et ses faiblesses agrave tous les niveaux et drsquoenvisager les conseacutequences et les effets sur lrsquoorganisation Seule une bonne connaissance ou modeacutelisation du systegraveme permet de donner un certain niveau drsquoassurance au systegraveme drsquoinformation Nous consideacuterons qursquoune telle deacutemarche peut srsquoappliquer agrave tout type drsquoorganisation qursquoelle soit civile ou militaire priveacutee ou publique importante ou plus leacutegegravere
La seacutecuriteacute est globale Les niveaux de reacuteflexion en termes de SSI sont agrave envisager sur les plans technique organisationnel humain mais aussi sur des plans strateacutegique et eacuteconomique
Aussi lrsquoidentification de la menace virale et sa modeacutelisation sont-elles des eacutetapes cruciales avant toute organisation drsquoune ligne de deacutefense Lrsquoeacutevaluation drsquoune solution de seacutecuriteacute et plus largement une politique de seacutecuriteacute doivent ecirctre construite sur la base drsquoune probleacutematique de seacutecuriteacute permettant de deacutefinir des objectifs et des besoins de seacutecuriteacute
Le sceacutenario drsquointrusion
Afin de bien appreacutehender lrsquoeacutetendue des reacuteponses possibles agrave la lutte contre les codes malveillants nous proposons le scheacutema suivant (fig 311) pour reacutesumer le processus iteacuteratif drsquointrusion dans un systegraveme
Figure 311 Sceacutenario drsquointrusion (source DGA)
Recherche de la sucircreteacute de fonctionnement lrsquoanalyse de la valeur
La connaissance des actifs agrave proteacuteger est le preacutealable essentiel agrave toute deacutemarche de seacutecurisation Lrsquoapproche systeacutemique (deacutecomposition) pour une deacutefense en profondeur doit
16 juin 2011
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
ecirctre deacuteveloppeacutee pour eacutetablir les lignes de deacutefense neacutecessaires Cela suppose en quelque sorte que tout doit ecirctre proteacutegeable
La mise en place de mesures visant agrave justifier la confiance dans un systegraveme passe donc tregraves logiquement par la reacuteduction ou mieux par lrsquoeacutevitement de toute alteacuteration et donc par la connaissance anticipeacutee des incidents qui pourraient affecter la sucircreteacute de fonctionnement du systegraveme Une approche meacutethodique faites drsquoinductions successives consiste agrave imaginer les conseacutequences drsquoune deacutefaillance et met ainsi en eacutevidence les incidents potentiels La deacutemarche inverse consiste agrave partir drsquoun sinistre redouteacute et agrave remonter niveau par niveau jusqursquoaux eacuteveacutenements deacuteclencheurs
Face aux risques et agrave leur deacuteveloppement en termes de sinistres assurer la seacutecuriteacute avec comme corollaire la maicirctrise des risques exige le deacuteveloppement drsquoun certain nombre drsquoactions indiqueacutees ci-dessous pour empecirccher ou rendre plus difficile leur reacutealisation
La structuration pour minimiser les vulneacuterabiliteacutes du systegraveme en agissant au niveau des composants du SI (mateacuteriels immateacuteriels humains) et sur lrsquoorganisationLa dissuasion pour deacutecourager les agresseursLa preacutevention barriegraveres pour empecirccher qursquoune menace nrsquoatteigne le SILa protection pour limiter lrsquoampleur des deacuteteacuteriorations La palliation destineacutee agrave minimiser les conseacutequences sur lrsquoactiviteacute de lrsquoentrepriseLa reacutecupeacuteration (transferts des pertes agrave des tiers)
Le processus drsquoeacutelaboration drsquoun risque puis de deacuteclenchement et enfin de reacutealisation
drsquoun sinistre srsquoinscrit dans le temps selon le scheacutema (sources CLUSIF) suivant
Figure 312
Ce scheacutema (fig 312) montre qursquoon ne peut donc pas srsquoattaquer agrave la sinistraliteacute par le seul traitement des conseacutequences des sinistres La recherche des causes et leur reacuteduction si ce nrsquoest leur suppression sont des eacuteleacutements majeurs agrave prendre en compte pour eacuteliminer le risque Cette action doit ecirctre meneacutee le plus en amont possible dans le temps ce qui de plus est toujours source drsquoeacuteconomie de moyens agrave mettre en œuvre
La preacutevention est un des eacuteleacutements laquo fondateurs raquo du systegraveme de deacutefense La politique de preacutevention dans le cas drsquoune infection par propagation prend tout son sens Il faut non seulement diminuer voire supprimer la propagation des infections en amont autrement dit ecirctre capable de deacutetecter cette propagation laquo avant raquo le deacuteclenchement du programme malveillant La mise en œuvre drsquooutils de surveillance est neacutecessaire et nrsquoest pas chose aiseacutee
Aussi la seacutecuriteacute de fonctionnement du systegraveme drsquoinformation exige-t-elle le respect des critegraveres de seacutecuriteacute suivants
16 juin 2011
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
10487661048766La confidentialiteacute qualiteacute drsquoune information ou dun processus agrave nrsquoecirctre connu que par les personnes ayant besoin de la connaicirctre
10487661048766Lrsquo inteacutegriteacute qualiteacute drsquoune information ou dun processus agrave ne pas ecirctre alteacutereacute deacutetruit ou perdu par accident ou malveillance
10487661048766La disponibiliteacute qualiteacute drsquoune information ou dun processus agrave ecirctre agrave la demande utilisable par une personne ou un systegraveme
On peut ajouter agrave ces trois critegraveres de base
10487661048766Lrsquo opposabiliteacute qualiteacute dune information ou dun processus agrave ecirctre produit comme preuve de la reacutealiteacute dune action (non-reacutepudiabiliteacute dune action)
10487661048766La traccedilabiliteacute qualiteacute dune information ou dun processus agrave ecirctre reconnu comme inseacutereacute dans une chaicircne seacutequentielle drsquoeacuteveacutenements
Lrsquoutilisation des meacutethodes drsquoanalyse de risques telles que MEHARI ou EBIOS est recommandeacutee Ces meacutethodes sont issues de lrsquoISO 27002 et proposent des bases de connaissances importantes (menaces vulneacuterabiliteacutes)On cherchera agrave deacuteterminer agrave classer et agrave eacutevaluer les ressources agrave proteacuteger et agrave deacuteterminer les actifs les ressources sensibles les donneacutees et les systegravemes essentiels La reacuteussite drsquoune attaque neacutecessite lrsquoaccegraves au systegraveme et lrsquoexploitation drsquoune ou plusieurs vulneacuterabiliteacutes
- Au niveau des composantes (machines produits reacuteseaux etc hellip)- Au niveau de lrsquoarchitecture et des interfaces- Au niveau de la mise en œuvre qui en est faite par les utilisateurs
Ce qui pose le problegraveme au niveau - Des vulneacuterabiliteacutes eacuteleacutementaires- De la seacutecuriteacute du systegraveme- De lrsquoeacuteleacutement humain
Le scheacutema (fig 313) ci-dessous deacutecrit le processus drsquoeacutevaluation des risques par rapport aux actifs drsquoune entreprise On pourra ainsi en deacuteduire des objectifs de seacutecuriteacute et concevoir une architecture utilisant agrave la fois des solutions techniques et drsquoorganisation (lignes de deacutefense) pour proteacuteger les actifs
Figure 313 Processus drsquoeacutevaluation des risques
16 juin 2011
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Analyser les risques cest se poser la question suivante Que peut-on redouter et si cela se produit est-ce grave
Geacuterer les risques cest Obtenir de faccedilon continue dans le temps labsence de risques inacceptables par la mise
en œuvre de mesures de seacutecuriteacute
32 Concept drsquoune strateacutegie de deacutefense en profondeur
Cette approche meacutethodologique est issue des documents IAF [8] et de la DSSI [9] Elle me semble pertinente du fait de sa couverture pragmatique et adapteacutee finalement agrave tout type drsquoentreprise informatiseacutee Crsquoest une approche globale et de bon sens qui srsquoinscrit dans le systegraveme de management de la seacutecuriteacute du systegraveme drsquoinformation Ce concept ou ce raisonnement peut srsquoappliquer agrave la speacutecification de tout type de systegraveme agrave la deacutefinition drsquoun composant ou drsquoune fonction que le domaine soit technique ou non
321 Preacutesentation
Le concept de deacutefense en profondeur obeacuteit aux grands principes geacuteneacuteraux suivants Chacun de ces principes peut ecirctre individuellement analyseacute mais crsquoest lrsquoensemble qui donne la profondeur de la deacutefense
Globaliteacute La deacutefense doit ecirctre globale ce qui signifie qursquoelle comprend toutes lesdimensions du systegraveme drsquoinformation a) aspects organisationnels b) aspects techniques c) aspects de mise en œuvre
Coordination La deacutefense doit ecirctre coordonneacutee ce qui signifie que les moyens mis-enplace agissent a) gracircce agrave une capaciteacute drsquoalerte et de diffusion b) agrave la suite drsquoune correacutelation des incidents
Dynamisme La deacutefense doit ecirctre dynamique ce qui signifie que le SI dispose drsquounepolitique de seacutecuriteacute identifiant a) une capaciteacute de reacuteaction b) une planification des actions c) une eacutechelle de graviteacute
Suffisance La deacutefense doit ecirctre suffisante ce qui signifie que chaque moyen deprotection (organisationnel ou technique) doit beacuteneacuteficier a) drsquoune protection propre b) drsquoun moyen de deacutetection c) de proceacutedures de reacuteaction
Compleacutetude La deacutefense doit ecirctre complegravete ce qui signifie que a) les biens agrave proteacuteger sont proteacutegeacutes en fonction de leur criticiteacute b) que chaque bien est proteacutegeacute par au minimum laquo trois lignes raquo de deacutefense c) le retour drsquoexpeacuterience est formaliseacute
Deacutemonstration La deacutefense doit ecirctre deacutemontreacutee ce qui signifie que a) la deacutefense est qualifieacutee
16 juin 2011
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
b) il existe une strateacutegie drsquohomologation c) lrsquohomologation adhegravere au cycle de vie du systegraveme drsquoinformation
Le principe geacuteneacuteral de deacutefense en profondeur repose sur le principe de mise en place de plusieurs barriegraveres de protection indeacutependantes
Les barriegraveres sont associeacutees agrave des menaces (approche inductive) mais la graviteacute des incidents de seacutecuriteacute deacutepend des ressources (ce qui impose une analyse de risques et une approche deacuteductive) Les deux approches inductive et deacuteductive se complegravetent et sont agrave reacuteiteacuterer jusqursquoagrave obtenir un niveau de protection suffisant Il devient alors possible de valider lrsquoarchitecture et les moyens de protection mis en œuvre en correspondance avec les risques et de faire apparaitre les risques reacutesiduels La figure 3211 et lrsquoannexe numeacutero 1 illustrent la mise en place de laquo lignes de deacutefense raquo pour proteacuteger un bien (actif de lrsquoentreprise)
Figure 3211 Ligne de deacutefense
La figure 3221 modeacutelise un systegraveme avec de multiples barriegraveres de seacutecuriteacute (technique organisationnelle) pour proteacuteger un bien On peut imaginer par exemple la seacutecurisation drsquoune interface entre des usagers (externe) et un systegraveme (interne) avec la prise en compte des critegraveres drsquointeacutegriteacute (signature) de disponibiliteacute (politique de seacutecuriteacute anti-virus) et de confidentialiteacute (droits accegraves)
Figure 3212 exemple seacutecurisation interface usager-systegraveme interne
La deacutefense en profondeur vise agrave maitriser lrsquoinformation et le systegraveme qui le supporte par lrsquoeacutequilibre et par la coordination de lignes de deacutefenses dynamiques ou statiques dans toute la profondeur du systegraveme drsquoinformation cest-agrave-dire dans la dimension organisationnelle dans les technologies et dans la mise en œuvre
16 juin 2011
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Profondeur dans lrsquoorganisation
Il srsquoagit ici de deacutefinir une chaicircne de responsabiliteacute de bout en bout cest-agrave-dire de lrsquoutilisateur au responsable seacutecuriteacute Cette continuiteacute dans lrsquoorganisation passe par des actions de sensibilisation et de formation reacuteguliegraveres et testeacutees Cette chaicircne de responsabiliteacute doit ecirctre connue de tous et beacuteneacuteficier de proceacutedures de remonteacutee en cas drsquoalerte drsquoincidents de seacutecuriteacute A ce titre des proceacutedures de secours doivent ecirctre preacutevuesLrsquoorganisation en profondeur consiste eacutegalement agrave preacutevoir les retours drsquoexpeacuteriences afin drsquoen faire beacuteneacuteficier tout le monde Crsquoest un moyen efficace de faire vivre le reacutefeacuterentiel de seacutecuriteacute tout au long du cycle de vie du SI sur les plans technique et humainLe reacutefeacuterentiel de seacutecuriteacute du SI doit ecirctre valideacute au plus haut niveau et connu de tous Il trouve son efficaciteacute dans la mesure ougrave il touchera la profondeur de lrsquoorganisation La seacutecuriteacute doit ecirctre lrsquoaffaire de tous et non une niche drsquoexperts Lrsquoorganisation doit rechercher de faccedilon continue dynamique agrave appreacutecier son niveau de seacutecuriteacute issu drsquoune analyse de risques Lrsquoorganisation doit avoir la capaciteacute soit agrave srsquoauto-surveiller soit agrave faire appel agrave une tierce partie pour faire eacutevaluer son niveau de seacutecuriteacute Le systegraveme drsquoinformation eacutevolue dans un environnement physique qui a des interactions permanentes avec lui Ces actions doivent ecirctre surveilleacutees et des proceacutedures drsquourgence doivent ecirctre preacutevues
Lrsquointeacutegration de la seacutecuriteacute dans les projets teacutemoigne drsquoune certaine maturiteacute Enfin lrsquohomologation de seacutecuriteacute et la capaciteacute de lrsquoorganisation agrave la remettre en jeu (en fonction de lrsquoenvironnement du cycle de vie des systegravemes des incidents de seacutecuriteacute) sont des points cleacutes dans la deacutefense en profondeur
Profondeur dans la mise en œuvre
La mise en œuvre de la seacutecuriteacute doit srsquoappuyer sur des politiques valideacutees et testeacutees Cela suppose que les utilisateurs participent directement agrave la remonteacutee (fig 3213) des incidents et surtout beacuteneacuteficient drsquoinformation sur les alertes de seacutecuriteacute
La profondeur doit srsquoexprimer aussi par une politique dynamique de mises agrave jour des outils et du reacutefeacuterentiel documentaire Sans ces mises agrave jour et ces remises en question des proceacutedures de seacutecuriteacute la deacutefense risquerait drsquoecirctre une illusionFig 3213 contenu drsquoune politique de seacutecuriteacute
Toute mise en œuvre drsquooutils exige leur administration leur suivi et leur controcircle Cela passe en particulier par une analyse des traces permettant de deacutetecter des incidents Une ligne de deacutefense quel que soit son type doit ecirctre surveilleacuteeLa politique de maintenance doit eacutegalement avoir une profondeur en diversifiant les fournisseurs en veacuterifiant et en testant les contrats en srsquoassurant qursquoils sont conformes aux objectifs de seacutecuriteacute
Profondeur dans les technologies
16 juin 2011
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
La deacutefense en profondeur consiste donc agrave opposer aux menaces des lignes de deacutefense coordonneacutees et indeacutependantes Sur le plan des technologies cela peut signifier par exemple que la compromission drsquoun service reacuteseau ne doit pas permettre drsquoobtenir les droits les plus eacuteleveacutes sur lrsquoensemble du systegraveme Dans ce contexte donner des droits drsquoadministration agrave tous les utilisateurs drsquoun systegraveme est contraire agrave la deacutefense en profondeur En matiegravere de protection de lrsquoinformation cela peut aussi signifier que le chiffrement au niveau applicatif nrsquoest en soi pas suffisant et qursquoil pourrait ecirctre neacutecessaire de proteacuteger eacutegalement la couche reacuteseau (IP)
La deacutefense en profondeur a donc pour conseacutequence de ne pas faire reposer la seacutecuriteacute sur un eacuteleacutement mais sur un ensemble coheacuterent Cela signifie donc qursquoil ne doit pas exister en theacuteorie de point sur lequel tout lrsquoeacutedifice repose Ainsi la deacutefense ne doit pas reposer sur une technologie ou un produit de seacutecuriteacute quelle que soit sa qualiteacute En tant que barriegravere un produit de seacutecuriteacute doit ecirctre surveilleacute proteacutegeacute et beacuteneacuteficier de plan de reacuteaction en cas drsquoincident Il est neacutecessaire de chercher agrave reacuteduire lrsquoexposition du systegraveme aux diffeacuterentes menaces Cela signifie par exemple de creacuteer des enclaves agrave lrsquoaide de firewall et de systegravemes de deacutetection drsquointrusion Dans ce cadre de moindre exposition il est systeacutematiquement neacutecessaire de limiter les services offerts au strict besoin
Mettre de la profondeur dans les technologies crsquoest eacutegalement deacutefendre jusqursquoaux postes utilisateurs en installant par exemple un laquo firewall raquo ainsi qursquoun antivirus reacuteguliegraverement mis agrave jour et de nature diffeacuterente que celui installeacute sur la passerelle de messagerie Ces outils doivent srsquoaccompagner drsquoune formation des utilisateurs afin de leur faire prendre conscience que la technologie ne suffit pas et qursquoil faut rester vigilant quels que soient les outils deacuteployeacutes La figure 3214 ci-dessous reacutesume quelques technologies et insiste sur leur faciliteacute de mise en œuvre
Figure 3214 Positionnement des outils et technologie de seacutecuriteacute (source bejaflore [23])
16 juin 2011
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
322 Les eacutetapes
Cette meacutethode permet agrave une maicirctrise drsquoouvrage de prendre en compte les principes de la deacutefense en profondeur tels qursquoils ont eacuteteacute deacutefinis preacuteceacutedemmentElle apporte en particulier la possibiliteacute de qualifier un systegraveme et drsquoune certaine faccedilon drsquoen mesurer le niveau de deacutefense Pour atteindre cet objectif la meacutethode prend comme hypothegravese qursquoune gestion des risques a eacuteteacute conduite au preacutealable La deacutemarche qualiteacute classique PDCA reste toujours la base des ces meacutethodes pour accompagner le cycle de vie du systegraveme
La meacutethode permettant drsquoappliquer le concept de deacutefense en profondeur agrave la seacutecuriteacute des Systegravemes dinformation comprend les eacutetapes suivantes (fig 3221 - ANSSI)
Figure 3221 les eacutetapes de la meacutethode de la deacutefense en profondeur
1 Deacutetermination des biens des objectifs de seacutecuriteacute Cest agrave partir des reacutesultats de cette eacutetape que sera construite la deacutefense en profondeur Les objectifs de seacutecuriteacute permettent de classifier les impacts sur leacutechelle de graviteacute ce qui permettra ensuite de fixer les incidents de seacutecuriteacute sur cette eacutechelle et donc de communiquer agrave partir dun tableau des incidents associeacute agrave une repreacutesentation scheacutematique du systegraveme dinformation et aux lignes de deacutefense
2 Eacutelaboration de lorganisation et de larchitecture geacuteneacuterale du systegraveme (la profondeur du dispositif) Cest dans cette eacutetape quil faut deacutefinir les points de controcircle et deacutevaluation Elle doit ecirctre meneacutee le plus en amont possible dans les projets et permet de mettre en eacutevidence les barriegraveres la graviteacute des incidents de seacutecuriteacute (en fonction du nombre de barriegraveres reacutesiduelles) et les lignes de deacutefense
3 Eacutelaboration de la politique de deacutefense qui comprend deux volets le premier organise le renseignement et le second la phase reacuteactive correspondante Cette eacutetape deacutefinit la politique opeacuterationnelle de la deacutefense et met en eacutevidence les points de controcircle Cette politique doit permettre lrsquoobservation du systegraveme la remonteacutee des eacuteveacutenements de seacutecuriteacute pour alimenter le tableau de bord et la prise de deacutecisions sur les moyens de reacuteaction agrave mettre en œuvre Cette eacutetape a un aspect opeacuterationnel et dynamique alors que le preacuteceacutedent est plus statique
4 La coheacuterence globale du systegraveme ainsi que les mesures compleacutementaires prises dans les eacutetapes preacuteceacutedentes doivent permettre dobtenir un haut niveau de protection Ce niveau
16 juin 2011
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
doit ecirctre ensuite deacutemontrable Lrsquoobjectif de cette eacutetape est donc de qualifier le systegraveme drsquoinformation au regard des critegraveres de deacutefense en profondeur
5 Evaluation de la deacutefense permanente et peacuteriodique agrave partir des meacutethodes drsquoattaque et du retour drsquoexpeacuterience Cette eacutetape correspond agrave la partie controcircle et audit La mise agrave jour de la deacutefense agrave partir des reacutesultats de lrsquoeacutevaluation permettra de prendre en compte les eacutevolutions Cette eacutetape correspond aux opeacuterations de maintien en condition de seacutecuriteacute Elle pourrait deacuteboucher sur une deacutecision drsquohomologation qui doit rester coheacuterente avec les eacutevolutions du systegraveme tout au long du cycle de vie
Apregraves avoir proposeacute le concept de la deacutefense en profondeur nous pouvons agrave preacutesent preacutesenter quelques mesures pratiques pour bacirctir une solution opeacuterationnelle afin de minimiser les risques
323 Contraintes a priori
Ce concept de deacutefense en profondeur utilise lrsquoanalyse de risques baseacutee sur un inventaire et sur la classification des biens de lrsquoentreprise (audit) Cette meacutethode demande la participation des diffeacuterents acteurs meacutetiers de lrsquoentreprise et peut conduire agrave multiplier le nombre des fonctions de seacutecuriteacute (organisationnelles et techniques) en voulant tout maximiser pour seacutecuriser Une conseacutequence possible est drsquoinduire des investissements plus importants mais aussi le deacuteveloppement de fonctions laquo absurdes raquo Nous pouvons imaginer par exemple qursquoune exigence conduise agrave positionner des mots de passe tellement complexes que lrsquoutilisateur va contourner en eacutecrivant et en scotchant ce dernier sur son eacutecran
Lrsquoeacutevaluation de la menace reacuteelle et de sa preacutecision prend alors tout son sens En fonction des organisations le cumul des fonctions va retarder les agresseurs On peut penser lagrave encore que cette speacutecification ou cette surspeacutecification va contribuer agrave essouffler lrsquoagresseur mais attention aux coucircts induits La recherche du bon compromis est une chose difficile Jrsquoajouterai aussi que la multiplication des deacutefenses peut conduire agrave obscurcir la reacutesolution drsquoincidents car il devient difficile drsquoidentifier la fonction deacutefaillante Chaque fonction de seacutecuriteacute devrait donc pouvoir ecirctre justifieacutee Drsquoailleurs lrsquoapproche systeacutemique de systegraveme en sous-systegravemes jusqursquoagrave la deacutefinition des composants unitaires (ou fonctions) doit agrave mon sens rester humainement analysable Il serait inteacuteressant de voir comment ce concept de deacutefense en profondeur peut srsquoadapter agrave un systegraveme complegravetement nouveau A mon avis dans ce cas de figure que nous nrsquoavons pas traiteacute ici il faut certainement deacutevelopper davantage sa reacuteflexion vers la compreacutehension de la capaciteacute des attaquants (menaces)
On retiendra vis-agrave-vis de lrsquoenvironnement des facteurs qui limitent le choix des solutions
bull Le calendrier peut affecter lrsquoeacutemergence de solutions techniques mesures transitoires
bull Le budget peut exclure ou diffeacuterer certains travaux bull Lrsquointeropeacuterabiliteacute de mise en œuvre de techniquesbull Lrsquoimplantation des sites bacirctiments locaux leurs caracteacuteristiques de seacutecuriteacutebull La technologie normes et standards agrave respecterbull Lrsquoeacutevolutiviteacute les neacutecessiteacutes drsquoouverture agrave termebull Les personnels cateacutegories concerneacutees habilitation et formation organisation
Nous rappelons ici que lrsquoeacutevaluation est une neacutecessiteacute qui se traduit au stade de lrsquoarchitecture par des fonctions de seacutecuriteacute qui se doivent drsquoecirctre pertinentes coheacuterentes
16 juin 2011
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
complegravetes et au stade de la reacutealisation reacutesistantes simples drsquoemploi (relatif) et traccedilables
33 Mesures pratiques
Nous donnons par la suite des mesures geacuteneacuterales agrave prendre en compte pour bacirctir une politique de deacutefense efficace Lrsquoentreprise devra faire des choix raisonneacutes en fonction de sa taille de ses moyens Un des problegravemes agrave garder agrave lrsquoesprit est celui du dimensionnement des solutions et des critegraveres de choix Lrsquoanalyse de risques va nous amener agrave estimer la graviteacute des conseacutequences et des risques sur les actifs en fonction des menaces potentielles et va nous permettre une prise de conscience sur lrsquoarchitecture cible et des moyens agrave deacuteployer en matiegravere de seacutecuriteacute Quel que soit le plan sur lequel se situe la reacuteflexion technique ou organisationnel les principes de deacutefense restent la preacutevention le confinement le filtrage la surveillance et la restauration
Lrsquoapplication des principes de deacutefense en profondeur doit assurer lrsquoindeacutependance des moyens de protection lorsqursquoils sont placeacutes sur des lignes de deacutefense diffeacuterentes Ces principes de deacutefense en profondeur sont appliqueacutes au niveau organisationnel technique et dans la mise en œuvre Nous ajoutons que dans lrsquoutilisation des technologies les solutions de deacutefense ne doivent pas reposer uniquement sur un produit ou une technologie quelle que soit leur qualiteacute Les domaines de la seacutecuriteacute neacutecessitent des connaissances importantes il ne faut pas heacutesiter agrave srsquoadresser agrave des speacutecialistes
Il convient de mettre en œuvre des mesures de deacutetection de preacutevention et de reacutecupeacuteration ainsi que des proceacutedures approprieacutees de sensibilisation des utilisateurs pour se proteacuteger des codes malveillants
331 Mesures organisationnelles
Politique et organisation de la seacutecuriteacute Deacutefinir la responsabiliteacute agrave tous les niveaux (chaicircne des responsabiliteacutes) Inteacutegrer lrsquoensemble de lrsquoorganisation et controcircler les sous-traitants Etablir une politique formelle indiquant les mesures de protection Communiquer clairement sur la politique de seacutecuriteacute (PSSI) Sensibiliser en cas drsquoincident Responsabiliser les utilisateurs former les administrateurs Deacutevelopper la sensibilisation des utilisateurs aux eacutevolutions de la menace Disposer drsquoune charte aux utilisateurs et aux administrateurs Ameacuteliorer les proceacutedures de gestion de crises virales Utilisation des assurances Ne pas diffuser sa technique agrave lrsquoexteacuterieur Reacutepartir les moyens Respecter la leacutegislation (installation de logiciels laquo pirateacutes) Reacuteglementation
332 Mesures techniques Nous donnons ci-dessous quatre grands axes techniques agrave prendre en compte et
quelques exigences techniques attendues sur la base du document IATF [8] deacutecrivant les exigences techniques dans le cadre drsquoune deacutefense en profondeur
Lrsquoutilisation des solutions du marcheacute convient pour la majoriteacute des entreprises informatiseacutees Dans certaines organisations avec des actifs tregraves speacutecifiques des solutions sur
16 juin 2011
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
mesure peuvent ecirctre envisageacutees La preacuteconisation de mise en œuvre appelle drsquoune faccedilon geacuteneacuterale agrave des protections contre les codes malveillants baseacutees sur lrsquoutilisation des logiciels de deacutetectionreacuteparation
Creacuteer des icirclots de confiance (zones de seacutecuriteacute)
Les informations concernant les actifs de lrsquoentreprise sont regroupeacutees agrave la fois dans des systegravemes logiques et physiques elles sont lieacutees et en interactions permanentes Lrsquoapproche systeacutemique permet de construire des vues laquo simplifiant raquo lrsquoabstraction drsquoorganisations complexes Une approche possible consiste agrave deacutecomposer le systegraveme dans le temps et dans lrsquoespace par sous-systegraveme afin de reacuteduire le champ de la complexiteacute
Une entreprise peut confier la gestion de certaines informations hors de lrsquoentreprise La technologie SAAS et ses deacuteriveacutees vont reacutepondre agrave cette probleacutematique mais posent le problegraveme des frontiegraveres avec le SI de lrsquoentreprise et par lagrave mecircme des exigences en matiegravere de confidentialiteacute drsquointeacutegriteacute et de disponibiliteacute Comment srsquoassurer que les ressources externes garantissent qursquoaucun code malicieux ne soit preacutesent dans les eacutechanges Dans ce cas il sera important drsquoobtenir des garanties avec des certifications de type ISO 27001 ou Sas70 Un article est disponible sur ce sujet [13]
La connaissance de ces liens et des interactions avec lrsquoexteacuterieur peut donc aider agrave lrsquoefficaciteacute de toutes mesures de protection Ainsi le deacuteveloppement drsquoenvironnements de confiance et la maicirctrise de leurs limites sont-ils une des cleacutes dans la mise au point drsquoune politique de deacutefense Cette vision est tout aussi applicable agrave lrsquointeacuterieur de toute organisation On peut imaginer cloisonner des donneacutees des ressources des hommes et garantir ainsi une hieacuterarchisation dans les communications eacutelectroniques et humaines Crsquoest ce qursquoon pourrait appeler la politique de filtrage et drsquoaccegraves Plus largement Il faut ecirctre en capaciteacute de savoir qui intervient sur quoi en permanence Cela srsquoapplique drsquoailleurs agrave la sous-traitance Nous sommes lagrave aussi dans la hieacuterarchisation des accegraves
Figure 3311 ilots de confiance et strateacutegies de seacutecuriteacute
16 juin 2011
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
La figure 3311 illustre les relations entre les reacuteseaux internes et externes mais aussi les strateacutegies de seacuteparation (enclaves) On isole par exemple certains reacuteseaux (production) de lrsquoaccegraves agrave internet On positionne dans une enclave des serveurs drsquoauthentification dans une zone bien particuliegravere Ces techniques permettant de maicirctriser les eacutechanges
Exigences autour du poste de travail et des serveurs
Ces exigences conduisent agrave srsquoassurer - Lrsquoidentification et lrsquoauthentification le controcircle drsquoaccegraves la confidentialiteacute lrsquointeacutegriteacute
des donneacutees dans lrsquoenclave (zone de confiance physique et logique)- Lrsquoautorisation drsquoutilisation drsquoune ressource (strateacutegie du moindre privilegravege)- La maintenance des applicatifs des postes clients et des serveurs- La gestion des configurations sauvegarde- Lrsquoinstallation drsquoapplications qui ne mettent pas en peacuteril la seacutecuriteacute
Figure 3312 Acceacutedants et solutions drsquoauthentification
Controcircle des applications
La seacutecurisation drsquoune application srsquoappuie sur le
- Controcircle de la gestion de la seacutecuriteacute (confidentialiteacutes)- Controcircle de la gestion des projets (Eduquer les deacuteveloppeurs aux bonnes pratiques)- Controcircle des applications et du code applicatif
Exigences autour du reacuteseau et les infrastructures
- Proteacuteger les eacutechanges de donneacutees sur le WAN (divulgation)Drsquoune maniegravere geacuteneacuterale analyser tous les flux de donneacutees Flux entre lrsquointeacuterieur et lrsquoexteacuterieur de SI (http https Mail externe supports (cleacute USB)Flux interne au SI (Mail eacutechange de fichier supports)Analyser les logs du systegraveme
- Proteacuteger contre le deacuteni de service Protection contre les ralentissements- Protection contre lrsquoeacutecoute du trafic (sniffing)- Segmenter Filtrer- Utilisation de la cryptographie signature eacutelectronique des reacuteseaux et des donneacutees- Seacutecuriser les reacuteseaux sans fil (hyperfreacutequence)- Proteacuteger les configurations (reacuteseau OS serveurs)- Lrsquoentreprise doit srsquoeacutequiper drsquooutils speacutecialiseacutes
16 juin 2011
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
-gt Lrsquoutilisation des moyens de chiffrement est un enjeu de seacutecuriteacute inteacuterieure et exteacuterieure pour de nombreux pays Il existe des reacuteglementations speacutecifiques agrave chaque pays
Exigences de supervision de la seacutecuriteacute (audit)
- Fournir les infrastructures de gestion des cleacutes autorisation gestion des certificats- Fournir les outils de deacutetection drsquointrusion de reporting drsquoanalyse drsquoeacutevaluationhellip
permettant le controcircle- Fournir des outils de cartographie- Fournir des solutions de reprises en cas de sinistres (PRA PCA)- Sites de secours- Faire respecter la seacutecuriteacute (indicateurs et tableaux de bord PSSISMSI)- Envisager les sceacutenarios drsquoincidents- Stresser reacuteguliegraverement le systegraveme et mesurer les reacuteactions et les conseacutequences
potentielles
333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances Modegraveles de controcircle drsquoaccegraves
Controcircle drsquoaccegraves discreacutetionnaire (DAC)Controcircle drsquoaccegraves obligatoire (MAC)
Modegravele agrave matrice drsquoaccegraves (HRU)Modegravele drsquoaccegraves baseacute sur les rocircles (RBAC)
Modegravele drsquoaccegraves formel de politique de seacutecuriteacute(Bell-la padula) Modeacutelise les exigences de controcircle drsquoaccegraves(clark amp Wilson ) modeacutelise les exigences drsquointeacutegriteacute des systegravemes commerciaux(Landwehr) qui modeacutelise les exigences en matiegravere drsquoeacutechanges de donneacutees drsquoun reacuteseau de traitement de messages
Des reacutefeacuterentiels type ISO 27001 2700227004 [20] et les reacutefeacuterentiels des meacutethodes drsquoanalyses des risques restent une base de menace et de bonnes pratiques inteacuteressantes
De nombreuses meacutethodes geacuteneacuteriques existent pour eacutevaluer le risque des actifs de lrsquoentreprise On citera des meacutethodes telles que MEHARI EBIOS OCTAVE utiliseacutees en France pour lrsquoanalyse des risques Ces meacutethodes fournissent des
Guides de classification des ressources sensibles Guides daudit des services de seacutecuriteacute Guides danalyse de risque Guides deacutelaboration dobjectifs de seacutecuriteacute
Veille consulter les sources drsquoinformations CERTsCESTI CIPC MITRE eacutediteurs AV CIPChellip qui diffusent des bases de vulneacuterabiliteacutes maintenues
Utilisation de produits certifieacutes et des critegraveres communs pour le choix des outils de seacutecuriteacute Les Critegraveres Communs (CC) ITSEC font la synthegravese des critegraveres agrave respecter en matiegravere de seacutecuriteacute pour les systegravemes informatiques
16 juin 2011
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
suivant les prescriptions europeacuteennes ameacutericaines et canadiennes Ils concernent principalement les systegravemes directement impliqueacutes dans la seacutecuriteacute comme les firewalls les VPN les Switch Sous ce nom pas tregraves marketing se cache une certification complexe mais preacutepondeacuterante accepteacutee par lISO sous la reacutefeacuterence ISO 15408 (httpwwwcommoncriteriaportalorgproducts)
Reacutefeacuterentiel Assurance Preacutevention des risques cf organisme APSAD
34 Les moyens techniques
Nous avons recenseacute un certain nombre de mesures et de preacuteconisations autour des eacuteleacutements pour seacutecuriser le SI Nous proposons dans ce sous-chapitre de faire un point sur lexistence ou non de moyens techniques pour reacutealiser les diffeacuterentes recommandations Il convient de choisir les moyens neacutecessaires suffisants et justes La figure [3224] reacutesume le positionnement de quelques technologies employeacutees leur impact sur la seacutecuriteacute et sur leur simpliciteacute de mise en œuvre Nous proposons une liste bien eacutevidemment non exhaustive de moyens techniques pouvant reacutepondre agrave certains besoins en termes de seacutecuriteacute du systegraveme dinformation Certaines de ces recommandations restent encore difficiles agrave reacutealiser agrave ce jour crsquoest le cas notamment de lrsquoanalyse des traces (laquo Log raquo) Dans le cadre de ce travail nous nous inteacuteresserons plus en deacutetail agrave ce problegraveme Les moyens drsquoaudit dans le sens laquo preacutevention raquo sont une solution possible pour limiter les infections informatiques par propagation (cas des vers)
La surveillance des traces laquo LOG raquo pose le problegraveme du suivi et de deacutetection drsquoune eacuteventuelle propagation Une des probleacutematiques poseacutees reacuteside dans lrsquoanalyse des milliers de lignes de codes remonteacutees par les diffeacuterents outils du SI
Moyens de filtrage (zones de confiance Pare-feu)
Le systegraveme de pare-feu (341) est eacuteleacutement cleacute dans toute deacutefense Cet eacuteleacutement peut ecirctre placeacute agrave diffeacuterent niveau du systegraveme comme par exemple en coupure internet ou sur un poste de travail Il permet le
Filtrage couche basse ( tcpip)Filtrage applicatif ( httpftp)Filtrage de paquet avec eacutetat (statful)
Figure 341 Filtrage par pare-feu
Moyens drsquoaudit de deacutetection et de preacutevention
La mise en place de controcircles interne et externe doit veacuterifier que les regravegles de seacutecuriteacute suivent bien les regravegles issues de la politique de seacutecuriteacute
16 juin 2011
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Le controcircle externe de la seacutecuriteacute consiste agrave veacuterifier de lrsquoexteacuterieur et sans droits drsquoaccegraves aux systegravemes que les regravegles de seacutecuriteacute deacutefinies sont appliqueacutees Ce controcircle externe porte en prioriteacute sur lrsquoanalyse des systegravemes de lrsquoentreprise en se placcedilant reacuteellement agrave lrsquoexteacuterieur de lrsquoentreprise On peut controcircler par exemple par balayage reacuteseau (port) avec lrsquoutilisation drsquooutils comme NMPAP ou NEXUS capables de reacutealiser une empreinte du systegraveme et de stocker les informations reacutecolteacutees en base pour ecirctre analyseacutees ulteacuterieurement
Le controcircle interne de la seacutecuriteacute porte en prioriteacute sur les analyses de la configuration des eacutequipements reacuteseau (routeur services reacuteseaux type DNS NTP hellip) des eacutequipements serveurs et des postes de travail sur lrsquoutilisation des eacutequipements de seacutecuriteacute chargeacutes de lrsquoeacutecoute passive du reacuteseau (IDSIPS) et de leurs journaux drsquoactiviteacutes Les regravegles de configuration les regravegles de filtrage deacutefinissant lrsquoimpleacutementation de la politique de seacutecuriteacute (ACL politique de routage) sont analyseacutees Ces analyses doivent veiller agrave la consistance des configurations
Les eacutequipements de seacutecuriteacute passifs tels que les sondes de deacutetection drsquointrusion (IDS) table drsquoeacutecoute pots de miel ou les sondes de deacutetection drsquointrusion (IPS) nrsquoont pas pour fonction de proteacuteger le reacuteseau ou le systegraveme drsquoinformation Ils sont chargeacutes drsquoexeacutecuter des controcircles proactifs ou reacuteactifs Lrsquoanalyse de leurs traces (logs) apporte de lrsquoinformation importante Une sonde de deacutetection (IDS) a pour mission de deacutetecter et de signaler tout comportement anormal du reacuteseau (Paquets mal deacutefinis flux reacuteseau non autoriseacute) Une sonde de preacutevention drsquointrusion ne permet pas de deacutetecter un intrus avant qursquoil ne commence agrave agir Sa fonction est drsquoanalyser le trafic reacuteseau et de produire des statistiques de flux La configuration drsquoun IPS aura pour objectif drsquoindiquer un comportement reacuteseau laquo anormal raquoEn preacutesence drsquoun ver la bande passante habituelle drsquoun port pourrait anormalement augmenter et la sonde pourrait envoyer une alerte Ces sondes suivant leur parameacutetrage peuvent aussi remonter des alertes et deacuteclencher des actions Lrsquoanalyse des traces de ce type de technologies est donc primordiale pour srsquoassurer du respect des politiques de seacutecuriteacute Le traitement de ces traces (laquo Log raquo) quelle qursquoen soit lrsquoorigine mateacuteriels reacuteseau poste de travail serveurshellip du fait de leur indeacutependance va poser le problegraveme de la correacutelation de ces traces et de leur agreacutegation Le controcircle des informations collecteacutees nrsquoest pas une chose simple et peut demander du temps et de lrsquoexpertise (Faux positifs faux neacutegatifs) La figure 342 ci-dessous montre un exemple drsquoindicateur pouvant alimenter un rapport drsquoaudit
Figure 342 Exemple drsquoindicateur
16 juin 2011
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Lrsquoutilisation drsquooutils SIEM (Security Event Information Management fig 343) permet la collecte la cartographie la correacutelation et la gestion drsquoinformations (supervision) et une certaine automatisation du processus pour la construction de tableaux de bord
Lrsquoideacutee est de fournir une reacuteduction du nombre drsquoeacuteveacutenements et un enrichissement seacutemantique afin de permettre aux analystes de se focaliser sur les incidents de seacutecuriteacute prioritaires et de reacuteagir efficacement
Le scheacutema ci-dessous illustre un collecteur central drsquoeacuteveacutenements sur des plans applicatifs meacutetiers reacuteseaux et eacutequipements Crsquoest une situation eacutevidemment ideacuteale vers laquelle lrsquoentreprise informatiseacutee doit tendre
Figure 343 Architecture SIEM
Quelques outils du marcheacute - Outils SIEM LogLogic Prelude Arcsight Network intelligenceCISCO- Outils drsquoanalyse BindView NetIQ Panda- Traces de systegraveme drsquoexploitation ( Centrax pour windows Introder alert)- Traces des services applicatifs (ftp httphttps vnc etc)- Logiciel de deacutetection de traces de services reacuteseau (le NIDS SNORT)
Moyens organisationnels
- Une organisation humaine (un exemple drsquoorganisation est donneacutee en annexe) proceacutedures (planifier mettre en œuvre veacuterifier ameacuteliorer hellip)- Des outils (documentations analyse de risques espace de stockage formation)- Communication via un intranet des eacuteleacutements de politique de seacutecuriteacute
Lrsquoemploi de technologies classiques anti-logiciels malveillants (antivirus antipourriel (SPAM) antiespiogiciel (spyware)
Moyens drsquoauthentification et controcircle drsquoaccegraves Simples
- RADIUS TACACS- LDAP (standard protocolaire)
- NT Domain (NTLM)- Active Directory (LDAPNTLM)
16 juin 2011
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
- KERBEROS Figure 344 authentification Radius
Fortes- Digital certificates PKI- RSA ACE Server SecurID- Safe3w IDshield SecureAccess- Secure Computing Premier Access
- ActivCard ActivPack- Defender PassGo- eAladdin eSafe- NetegritySiteMinder Single-Sign On
Moyens drsquoautorisation (gestion des identiteacutes) Les serveurs drsquoauthentification preacuteciteacutes (Radius Ldap hellip) peuvent servir de
serveurs drsquoautorisation afin de centraliser les champs les paramegravetres ou groupes drsquoutilisateurs crsquoest-agrave-dire tous les critegraveres utilisables lors de lrsquoattribution de droits drsquoaccegraves speacutecifiques agrave lrsquoutilisateur Les ressources accessibles peuvent aussi faire partie des informations de ces attributs Nous pouvons par exemple reacutecupeacuterer des informations de groupe utilisateur (un nom de groupe LDAP ou Radius le domaine le serveur de mail hellip)
Moyens de seacutecurisation des donneacutees et des accegraves distants- Moyens de cryptage authentification forte infrastructure agrave cleacutes publiques
chiffrement (ipsec ssl ssh token rsa)- Stockage (SAN NAS DAS)- Lrsquoutilisation de techniques de Virtualisation- Segmention VLAN MPLS DMZ
Moyens drsquointeacutegriteacute du poste de travail et des applications
Nous citons une technologie Trusted Computing Platform Architecture (TCPA) qui se donne pour objectif la seacutecuriteacute des eacutequipements et des reacuteseaux informatiques Cette technologie incorpore des dispositifs mateacuteriels et logiciels au cœur des ordinateurs et des systegravemes drsquoexploitation de demain Ce qui est agrave noter crsquoest que les dispositifs envisageacutes par TCPA sont destineacutes agrave ecirctre implanteacutes dans des couches basses du mateacuteriel et du logiciel de telle sorte que lrsquoutilisateur ne pourra pas intervenir pour modifier leur comportement Le principe des dispositifs TCPA consiste agrave attribuer une signature agrave chaque eacuteleacutement de systegraveme informatique (logiciel document) et agrave deacuteleacuteguer agrave un tiers de confiance la possibiliteacute de veacuterifier si lrsquoobjet consideacutereacute peut ecirctre leacutegitimement utiliseacute sur le systegraveme informatique local Tout eacuteleacutement non signeacute ou dont la signature nrsquoest pas agreacuteeacutee par le tiers de confiance sera rejeteacute
- Trusted Computing Platform Alliance (TCPA)- Next-generation secure computing base (NGSCB de Microsoft)
Moyens drsquoaccegraves applicatifs IAM (identity access management) Single Sign-on (SSO)
16 juin 2011
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Figure 345 authentification SSO
La mise en place de techniques IAM (baseacute sur RBAC) ou SSO permet la feacutedeacuteration des identiteacutes et ainsi de mieux geacuterer les habilitations au sein du SI facilitant par ailleurs la gestion des donneacutees sensibles et les audits Ces techniques permettent par ailleurs de limiter le nombre drsquoeacutechange reacuteseau pour lrsquoauthentification
35 Eleacutements de politique de seacutecuriteacute
Nous donnons ci-dessous agrave titre drsquoexemple quelques eacuteleacutements de politiques de seacutecuriteacute afin drsquoillustrer des regravegles preacuteventives en terme drsquohygiegravene informatique
Interdire ou veacuterifier tout meacutedia externe avant de lrsquoimporter dans lrsquoorganisationRestreindre ou interdire lrsquoutilisation de certains logiciels ougrave des scriptsLimiter lrsquoutilisation des privilegraveges administrateurs
Approuver tout changement aux regravegles du pare-feuPolitique de lrsquoutilisation drsquointernetPolitique de lrsquoutilisation des courrielsPolitique de lrsquoutilisation des ressourcesNe pas deacutesactiver les logiciels de protection
Mais surtout deacutefinir une politique claire en cas drsquoattaque et deacutecider des mesures agrave prendre pour une restauration du systegraveme compromis (confinement eacuteradication)
Drsquoougrave lrsquoimportance des mesures de preacutevention et des moyens drsquoaudit du systegraveme pour ecirctre capable drsquoanalyser lrsquointrusion de restaurer le systegraveme et drsquoameacuteliorer les politiques de seacutecuriteacute
La figure ci-dessus propose une deacuteclinaison drsquoune politique de seacutecuriteacute en n politiques pour geacuterer les diffeacuterentes utilisations au sein du SI
16 juin 2011
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
36 Quelques exemples drsquoarchitecture
Les exemples suivants illustrent la multiplication des barriegraveres de deacutefense et le deacutecloisonnement des fonctions de seacutecuriteacute
Ce chapitre nous a permis drsquoaborder le concept de deacutefense en profondeur de donner quelques mesures pratiques et des moyens techniques possibles La lutte contre les codes malveillants et la minimisation des risques associeacutes sont des tacircches qui demandent des moyens techniques et humains importants et des compeacutetences de plus en plus larges
Lrsquoapproche systeacutemique la deacutecoupe du systegraveme en zones de confiances lrsquoanalyse de risque et les systegravemes drsquoaudit et de preacutevention sont des clefs pour garantir les objectifs de seacutecuriteacute drsquoune organisation et la maicirctrise des eacutevolutions
4 Conclusion
La premiegravere partie de ce travail a eacuteteacute consacreacutee agrave deacutefinir les fondements de la virologie et agrave soulever les problegravemes de la lutte antivirale
La seconde partie preacutesente un eacutetat des lieux de la lutte contre les codes malveillantsLa troisiegraveme partie propose une approche geacuteneacuterale de deacutefense en profondeur et de
preacutevention permettant de minimiser les risques pour les entreprises informatiseacutees
Nous retenons au travers de ce travail que la lutte contre les codes malveillants nrsquoest pas une science exacte et qursquoelle nous amegravene vers une posture baseacutee sur lrsquoanticipation la gestion des risques et la synergie des responsabiliteacutes La reacuteussite passe non seulement par des eacuteleacutements techniques mais aussi par lrsquoorganisation de lrsquoentreprise ensemble reacutegi par une politique de seacutecuriteacute et par un systegraveme de gestion de la seacutecuriteacute qui assure la coheacuterence de lrsquoensemble des mesures Les aspects organisationnels prennent toute leur importance agrave mesure que le systegraveme (entreprise) devient complexe et eacutetendu Enfin le controcircle de la seacutecuriteacute fait partie inteacutegrante de la deacutemarche seacutecuritaire Cette deacutemarche est finalement adaptable agrave tout type de domaine
Des eacutetudes compleacutementaires sur les techniques drsquoaudit et de controcircle drsquoaccegraves notamment pour lrsquoutilisation des reacuteseaux sans fil (wifi mobile Smartphone) ou encore sur lrsquoexternalisation de la maintenance me sembleraient inteacuteressantes pour prolonger la reacuteflexion
16 juin 2011
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
La culture seacutecuriteacute et de discreacutetion doit donc devenir un reacuteflexe quelque chose drsquoancreacute dans les entreprises et dans les hommes une philosophie
laquo Lrsquoeacutepaisseur drsquoun rempart compte moins que la volonteacute de le deacutefendre raquoThucydide (historien grec Vegraveme av JC)
laquo Le laquo pourquoi raquo ne se lit jamais avec eacutevidence qursquoagrave travers un comment raquo Jacqueline de Romilly
5 Acronymes
PSSI Politiques de Seacutecuriteacute des Systegravemes drsquoInformation (PSSI)RSSI Responsable de la seacutecuriteacute des systegravemes dinformationANSSI Agence Nationale de la Seacutecuriteacute des Systegravemes drsquoinformationDCSSI Direction Centrale de la Seacutecuriteacute des Systegravemes dInformation devenue ANSSIDSI Direction des systegravemes drsquoinformationDIC Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteCID Disponibiliteacute Inteacutegriteacute ConfidentialiteacuteISO Organisation Internationale de NormalisationFEROS Fiche dExpression Rationnelle des Objectifs de Seacutecuriteacute des Systegravemes dInformationEBIOS Expression des Besoins et Identification des Objectifs de SeacutecuriteacuteIAF information Technical framewordISO International Organization for Standardization
MEHARI Meacutethode Harmoniseacutee drsquoAnalyse de risquesCLUSIF Club de la Seacutecuriteacute de lInformation Franccedilais
SMSI Systegraveme de Management Systegraveme drsquoinformation SI Systegraveme drsquoInformationSSI Seacutecuriteacute des Systegravemes drsquoInformationSIEM Security Event Information ManagementIPS Intrusion Preacutevention SystemIDS Intrusion Deacutetection SystemANSSI Agence Nationale de la seacutecuriteacute des Systegravemes drsquo InformationSAAS Software as a ServicePAAS Platform as a ServiceIAAS IT as a Service ou IaaS Infrastructure as a ServiceTIC Technologie de lrsquoinformation et de la communicationPRA Plan de reprise drsquoactiviteacutePCA Plan de continuiteacute drsquoactiviteacutePCI Plan de continuiteacute informatique
6 Reacutefeacuterences Documentaires
[1] F Cohen Computer Viruses PhD thesis University of Southern California 1986[2] L Adleman An abstract theory of computer viruses In Advances in Cryptology volume 403 of
16 juin 2011
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
Lecture Notes in Computer Science pages 354ndash374 Springer 1988[3] G Bonfante M Kaczmarek and JY Marion On abstract computer virology from a recursiontheoretic perspective Journal in computer virology 1(3) 45ndash54 2006[4] Eacute Filiol Les virus informatiques theacuteorie pratique et applications Springer 2004[5] Eric LACOMBE ndash Thegravese httpeprintinsa-toulousefrarchive0000024501kaddoumpdf[6] Article ftpftp-developpezcomcyberzoidesecuriteobfuscationobfuscationpdf[7] httpwwwsecurite-informatiquegouvfrautoformationssecurite_reseaux_3cosecu_reseau_3html[8] IATF Release 30 2000 objectifs de deacutefenses en profondeur[9] DSSI wwwcirculairesgouvfrpdf200904cir_2014pdf[10] Jean-Luc THOMAS ENG200 confeacuterence sur les reacuteseaux eacutelectriques intelligents [11]Article httpwwwjournaldunetcomsolutionssecuritevirus-et-trojan-de-la-decennie-et-cyberguerrecode-red-2001shtml[12] httpwwwtelecomgouvfrfonds_documentairemenadmrecommandationspdf[13] Feacutevrier 2009 bull La Lettre Seacutecuriteacute Ndeg18 bull 5[14] httpwwwzdnetfractualiteseric-filiol-esiea-les-editeurs-d-antivirus-confondent-le-business-et-le-besoin-des-utilisateurs-39710371htm[15] httpwwwzdnetfractualitesexplosion-des-logiciels-malveillants-en-2008-39382342htm[16] httpcyberzoidedeveloppezcomsecuriteobfuscation[17] httpssecuresophosfrsecuritywhitepapersindexhtml[18] Source Les Echos Entreprises amp Marcheacutes p 19 19 juin 2008[19] httpfcw com articles 2009 11 02 week-cybersecurity-infographicaspxsc_lang=en[20] (httpwwwslidesharenetRonanintroduction-iso-27001-et-27002-4172876)[21] httpwwwalain-bensoussancomavocatscategorythematiquesecurite-des-sisinistralite[22] httpwwwmag-securscomNewstabid62articleTypeArticleViewarticleId28348Un-hacker-arrete-suite-a-une-emission-diffusee-sur-France-2aspx[23]httpwwwffsafrwebffsarisquesnsfb724c3eb326a8defc12572290050915b3bbdd47d96e1c9f4c12575b30052f750$FILERisques_77_0025htm[24] httpwwwcelogfrcpicodepenalhtm[25] httpwwwcommentcamarchenetnews5852915-emails-et-reseaux-sociaux-champions-de-la-fuite-de-donnees[26] httpwwwbejaflore [27] httpwwwcertassigouvfrsiteCERTA-2002-REC-002SECTION00040000000000000000[28) httpwwwrtflashfrtcpa-palladium-pourquoi-y-t-il-autre-chose-que-rienarticle
MEHARIhttpwwwclusifassofrfrproductionmeharipilotage-securiteEBIOShttpwwwssigouvfrsite_article45htmlISO
httpwwwisoorgisofr
16 juin 2011
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
7 Annexes 1 - Modeacutelisation drsquoune fonction de deacutefense (Source RATP)
2- Tableau de positionnement Meacutethodes SMSI ISO
3- Exemple drsquoorganisation drsquoun systegraveme de management de la seacutecuriteacute
Quelques organismes de seacutecuriteacute en France
16 juin 2011
Tous
Direction geacuteneacuterale
Proprieacutetaire des informationsResponsable de lrsquoanalysedes risques
RSSI
Controcircle interne
Services
juridique
financiers hellip
Responsables meacutetiers
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-
ANSSI
Heacuteritiegravere du Service central de la seacutecuriteacute des systegravemes drsquoinformation (SCSSI) puis de la Direction centrale de la seacutecuriteacute des systegravemes drsquoinformation (DCSSI) institueacutee par deacutecret en 2001 lrsquoAgence nationale de la seacutecuriteacute des systegravemes drsquoinformation (ANSSI) a eacuteteacute creacuteeacutee par le deacutecret ndeg 2009-834 du 7 juillet 2009 sous la forme drsquoun service agrave compeacutetence nationaleElle est rattacheacutee au Secreacutetaire geacuteneacuteral de la deacutefense et de la seacutecuriteacute nationaleElle assure la mission drsquoautoriteacute nationale en matiegravere de seacutecuriteacute des systegravemes drsquoinformationElle a pour mission
Deacutevaluer peacuteriodiquement la vulneacuterabiliteacute des systegravemes en serviceDe former les responsables informatiques agrave la seacutecuriteacute informatiqueDe reacuteguler les moyens de protection et de chiffrement des organismes publicsDe contribuer agrave leacutelaboration de la politique gouvernementale en termes de seacutecuriteacute Informatique
CLUSIF
Le CLUSIF est un club professionnel constitueacute en association indeacutependante ouvert agrave toutes les entreprises ou collectiviteacutes Il accueille des utilisateurs issus de tous les secteurs dactiviteacute de leacuteconomie La finaliteacute du CLUSIF est dagir pour la seacutecuriteacute de linformation facteur de peacuterenniteacute desEntreprises et des collectiviteacutes publiquesIl entend ainsi sensibiliser tous les acteurs en inteacutegrant une dimension transversale dans ses groupes de reacuteflexion management des risques droit intelligence eacuteconomique Les groupes de travail traitent de theacutematiques varieacutees en fonction de lactualiteacute des besoins des membres Le CLUSIF a des relais reacutegionaux les CLUSIR et des partenaires europeacuteens les CLUSIF
16 juin 2011
- 1 Fondements theacuteoriques de la virologie informatique
-
- 11 A propos de ce travail
- 12 Contexte et probleacutematique
- 13 Les virus et les infections informatiques
- 14 Formalisation de la lutte antivirale
-
- 2 Etat des lieux
- 21 Le danger du marketing
- 22 Eacutetat de la menace et perspectives
- 23 Protection juridique en matiegravere de cybercriminaliteacute
- 24 Bilan
- 3 Diminuer lrsquoexposition aux risques - deacutefense en profondeur
-
- 31 Construire un systegraveme de confiance
- 32 Concept drsquoune strateacutegie de deacutefense en profondeur
-
- 321 Preacutesentation
- 322 Les eacutetapes
- 323 Contraintes a priori
-
- 33 Mesures pratiques
-
- 331 Mesures organisationnelles
- 332 Mesures techniques
- 333 Utilisation des meacutethodes des reacutefeacuterentiels des bases de connaissances
-
- 34 Les moyens techniques
- 35 Eleacutements de politique de seacutecuriteacute
- 36 Quelques exemples drsquoarchitecture
-
- 4 Conclusion
- 5 Acronymes
- 6 Reacutefeacuterences Documentaires
- 7 Annexes
-