Arrow Table de matières
3954220

CHAPITRE II. SECURISATION DU RESEAU (QUATRIEME PARTIE)

II.1. Introduction

La sécurité est avant tout un ensemble de préconisations qu'il faut adapter aux besoins de chaque cas rencontré. Il n'y a pas une seule méthode mais un ensemble de notions à prendre en compte[1]. Ce chapitre tache d'en établir une liste qui ne peut être considérée comme exhaustive.

La sécurité à mettre en œuvre dépend principalement des moyens qui seront mis en œuvre pour les attaques et donc principalement de ce qui est à sécuriser. Il s'agit de trouver un juste équilibre entre le coût de la sécurité et les risques à assumer.

Lors de la mise en place d'une politique de sécurité, il est important de se rappeler que la sécurité doit être au service des utilisateurs, que ceux-ci ne doivent pas être gênés dans leur travail. Une sécurité qui ne se soucie pas des utilisateurs trouve très souvent là sa principale faille car le facteur humain reste toujours le maillon faible de la sécurité.

Une politique de sécurité prend en compte non seulement la sécurisation de l'accès aux données mais aussi la protection des données et de l’outil de production face à des évènements éventuellement destructeurs comme le vol, l'incendie.

  1. Sécuriser l'accès physique au matériel
  • Protéger les locaux au travers d'une politique globale de sécurité : filtrage des accès à l'entreprise, mise à l'écart du matériel sensible (serveur, éléments actifs du réseau ...)
  • Protéger le matériel et les données des agressions extérieures : utilisation de prises parafoudre, sauvegardes délocalisées, système anti-incendie. Prenez en compte l'ensemble des risques éventuels comme les inondations car le matériel réseau n'est pas évident à déplacer.
  • Protéger le matériel du vol : les équipements critiques (serveurs, éléments actifs et passifs du réseau) ne doivent pas être accessibles à tous.
  • Prévoir des connexions réseaux de secours : un câble peut être victime d'un engin de chantier, de rats ... La réparation peut être une opération longue, bloquant la production.
  1. sécuriser les données
  • Sauvegarder toutes les données : implique la mise en place de systèmes de stockage centralisés, plus sûrs que la sauvegarde de nombreux répertoires sur de nombreuses machines. Implique aussi d'être à même de pouvoir restaurer les sauvegardes faites.
  • Sortir les données de l'entreprise pour les protéger d'un incendie par exemple. Ceci doit être fait dans le respect des règles de confidentialité éditées dans la politique générale de sécurité... Des entreprises proposent ce type de service.
  • Utiliser des systèmes de stockage redondants, de type RAID, permettant de récupérer les données lors du crash d'un disque sans rupture du service.
  • Utiliser des antivirus qui seront régulièrement mis à jour. Sensibiliser le personnel sur la provenance des virus et les règles simples à suivre pour les éviter.
  1. Garantir la continuité du service
  • Utiliser des serveurs aux services redondants (contrôleurs de domaine principaux/secondaires par exemple) pour pallier aux problèmes liés à l'interruption de service.
  • Utiliser des systèmes de sauvegarde permettant un changement de support à chaud (Hot-Plug) en cas de problème.
  • Utiliser des systèmes intégrant une alimentation redondante, élément souvent le plus faible.
  • Prévoir des solutions contre les micros-coupures et coupures de courant pour, à la fois éviter un arrêt non sécurisé des serveurs, éviter un redémarrage long des services et ainsi permettre une utilisation continu du matériel, y compris durant une coupure de courant. Dans ce dernier cas, tous les éléments doivent être sécurisés : oublier le matériel réseau par exemple rendrait la démarche totalement inefficace.
  • Prévoir la reconstruction rapide d'un système détruit : création d'une image du système de base.
  1. Sécuriser l'accès au réseau
  • Ne pas brasser (activer) les prises non utilisées de sorte à éviter les connexions imprévues et l'écoute du réseau (des mots de passe peuvent circuler en clair, comme bon nombre d'informations stratégiques).
  • Eviter ou plutôt restreindre l'allocation dynamique d'adresses IP de sorte à ne pas simplifier la tâche d'un éventuel pirate. Limiter et surveiller les adresses MAC (adresses physiques des cartes réseau, difficiles à modifier) de sorte à prévenir de la connexion d'un appareil non autorisé.
  • Utiliser au maximum des équipements de commutation (Switch) de sorte à limiter les possibilités d'écoute sur le réseau.
  • Utiliser avec précaution les technologies sans fil, toujours activer le maximum de protections possibles (cryptage, restriction d'accès...)
  1. Sécuriser l'accès aux données et logiciels
  • Limiter les accès aux personnes en ayant besoin : mettre en œuvre une politique de gestion de comptes utilisateurs, associés à des mots de passe. La politique de gestion des mots de passe est un point important de la politique de sécurité : le choix des mots de passe doit être de préférence à l'origine des utilisateurs de sorte à simplifier leur mémorisation. Un mot de passe difficile à mémoriser est un mot de passe écrit à côté de l'ordinateur ! Toutefois, certaines règles doivent être mises en place pour contraindre à l'utilisation de mots non disponibles dans un dictionnaire : utilisation de minuscules, majuscules, caractères spéciaux et taille minimale... Les mots de passe ne doivent pas être changé trop souvent pour être bien acceptés, toutefois, il est impératif de maintenir la base des mots de passe (et des utilisateurs) à jour : le départ d'une personne doit impérativement avoir pour effet la suppression (ou la désactivation) de son compte. Testez-vous même les outils des pirates sur vos propres bases.
  • Restreindre au maximum les plages d'accès possible : de nombreuses attaques ont lieu lorsque personne n'est présent (nuit, week-end) autant interdire tous les accès à ces moments-là.
  • Utiliser des moyens d'identification forts si le besoin se présente : carte à puce, biométrie...
  • Empêcher les accès aux lecteurs de disquettes ou CDROM qui peuvent être utilisés pour démarrer un système permettant de cracker le système présent sur le disque. Généralement une protection du Bios associé à la suppression du démarrage sur ces périphériques aura un effet suffisant... toutefois, le mot de passe du bios est simple à supprimer... Empêcher alors l'ouverture du micro-ordinateur (solution permettant de limiter également les vols).
  1. Sécuriser l'accès au réseau

Le réseau est un point sensible du système : du fait de sa connexion vers le monde entier il offre à des individus physiquement éloignés, comme aux employés, un accès à vos données.

  • Séparer le réseau interne de l'accès externe en utilisant des éléments dédiés à cela : les Firewall. Préférez l'utilisation d'un équipement spécifique ou dédié plutôt que l'activation de cette fonctionnalité sur un serveur proposant d'autres services.
  • Mettre en place un système de suivi des intrusions de sorte à évaluer le risque à un moment donné.
  • Mettre en place un système de suivi des connexions de sorte à détecter d'éventuelles anomalies.
  • Séparer le réseau interne (privé) du réseau public (ensemble des services mis à disposition depuis Internet). La partie publique de l'entreprise est placée dans une zone non sécurisée appelée (DMZ Zone DéMilitarisée). Cette DMZ peut toutefois être filtrée au travers d'un Firewall. Un Firewall beaucoup plus sécurisé sera mis en place entre le réseau privé et le réseau public. Le but de cette démarche et de protéger le réseau privé d'une attaque provenant de la DMZ. En effet, il est plus difficile de protéger un serveur qui doit être public.
  • Suivre les mises à jour de logiciels et systèmes ainsi que les rapports de bugs publiés fréquemment. Prévenir étant toujours mieux que de guérir.

Malgré la mise en œuvre de toutes ces règles et de sans doute bien d'autres encore, la sécurité d'un système ne peut être assurée qu'avec l'aide des utilisateurs. Ceux-ci doivent donc être sensibilisés aux risques et connaitre les règles de base de la sécurité comme par exemple ne jamais donner son mot de passe, y compris à l'administrateur qui, normalement, ne doit jamais en avoir besoin. La façon la plus simple de pénétrer un système étant bien souvent d'en demander l'accès à un utilisateur non averti. Une nouvelle fois, gardez toujours en tête que l'administrateur système doit être au service de l'utilisateur de l'informatique, toutes les règles mises en œuvre, aussi restrictives qu’elles soient doivent être accompagnées d'un service irréprochable de votre part les rendant ainsi transparentes et surtout non contraignantes.

[1] Pascal Nicolas, Cours de réseaux Maîtrise d’informatique, Université d’Angers

Partager ce travail sur :