Méthodes et outils de protection des données et infrastructures critiques des entreprises

La Sécurité des Systèmes d’Information (SSI) est une discipline de première importance car le système d’information (SI) est pour toute entreprise un élément absolument vital.

Cependant, il existe des menaces contre le système d’information. Celles-ci entrent dans une des catégories suivantes :

• atteinte à la disponibilité des systèmes et des données,
• destruction de données,
• corruption ou falsification de données,
• vol ou espionnage de données,
• usage illicite d’un système ou d’un réseau,
• usage d’un système compromis pour attaquer d’autres cibles.

Ces menaces engendrent des risques ainsi que des coûts humains et financiers comme la perte de confidentialité de données sensibles, l’indisponibilité des infrastructures et des données, des dommages pour le patrimoine intellectuel et la notoriété.

Toutefois, ces vulnérabilités peuvent être atténuées en s’appuyant sur un certain nombre de principes et de méthodes.

1. Fixer un périmètre de sécurité et élaborer une politique de sécurité

   Il est Inutile de se préoccuper de sécurité sans avoir défini au préalable ce qui était à protéger : en d’autres termes toute organisation désireuse de protéger ses systèmes et ses réseaux doit déterminer son périmètre de sécurité. Une fois fixé ce périmètre, il faut aussi élaborer une politique de sécurité, c’est-à-dire décider de ce qui est autorisé et de ce qui ne l’est pas.

   Pour cela s’appuyer sur la norme ISO 27001 est une bonne approche.

2. Identifier et authentifier

   Les personnes qui accèdent à une ressource non publique doivent êtrei dentifiées; leur identité doit être authentifiée; leurs droits d’accès doivent être vérifiés au regard des habilitations qui leur ont été attribuées :

   Authentification et chiffrement sont indissociables : chiffrer sans authentifier ne protège pas des usurpations d’identité

   Equipements : NAC (Network Access Controller), : CISCO ISE, Fortinac, Forescout

   Authentification multi-facteurs

3. Empêcher les intrusions

   Il faut également se prémunir contre les intrusions destinées à détruire ou corrompre les données, ou à en rendre l’accès impossible. Les techniques classiques contre ce risque sont l’usage de pare-feu (firewalls ) et le filtrage des communications réseaux, qui permettent de protéger la partie privée d’un réseau dont les postes de travail pourront communiquer avec l’Internet sans en être accessibles ; Pour améliorer cette protection, les firewalls, sont généralement associés à des IDS / IPS (intrusion Detection System / Intrusion Prevention System).

   Aujourd’hui la plupart des constructeurs ont fusionné ces deux fonctionalités et en y ajoutant l’antivirus, l’URL Filtering, L’application Control, .. on parle à présent de NGFW ( Next Generation Firewall)

   Equipements : Fortigate, Palo Alto Firewall, CISCO firepower, Checkpoint Fw, Sophos XG Firewall

4. Sauvegarder données et documents

   La sauvegarde régulière des données et de la documentation est un élément indispensable de la sécurité du système d’information, voici quelques règles de sauvegarde :

   • Pour chaque ensemble de données il convient de déterminer la périodicité des opérations de sauvegarde en fonction des nécessités liées au fonctionnement de l’entreprise.
   • Les supports de sauvegarde doivent être stockés de façon à être disponibles après un sinistre tel qu’incendie ou inondation : armoires ignifugées étanches ou site externe.
   • Les techniques modernes de stockage des données, telles que Storage Area Network(SAN) ou Network Attached Storage(NAS), conjuguées à la disponibilité de réseaux à haut débit, permettent la duplication de données à distance et ce éventuellement en temps réel ou à intervalles très rapprochés ; ce type de solution est idéal pour un site de secours. Dans un système d’information moderne, toutes les données doivent être stockées sur des SAN ou des NAS, rien ne justifie l’usage des disques attachés directement aux serveurs, qui seront réservés aux systèmes d’exploitation et aux données de petit volume.
   • Les dispositifs et les procédures de sauvegarde et, surtout, de restauration doivent être vérifiés régulièrement

   Equipements : Veritas Netbackup, Veeam Backup, Barracuda Backup

5. Vérifier les dispositifs de sécurité

   Le dispositif de sécurité le mieux conçu ne remplit son rôle que s’il est opérationnel, et surtout si ceux qui doivent, en cas de sinistre le mettre en œuvre, sont eux aussi opérationnels. Il convient donc de vérifier régulièrement les capacités des dispositifs matériels et organisationnels. Les incidents graves de sécurité ne surviennent heureusement pas tous les jours : de ce fait, si l’on attend qu’un tel événement survienne pour tester les procédures palliatives, elles risquent fort de se révéler défaillantes. Elles devront donc être exécutées « à blanc » périodiquement, par exemple en effectuant :

   • la restauration d’un ensemble de données à partir des sauvegardes tous les six mois, ou
   • le redémarrage d’une application à partir du site de sauvegarde
6. Sensibilisation 

   En matière de cybersécurité, il y a deux façons d’appréhender la dimension humaine : considérer que l’humain représente un maillon faible, la « négligence humaine », ou décider d’en faire le maillon fort. Évidemment, les deux perceptions se complètent ; mais il est essentiel de ne pas focaliser le dialogue sur la première, qui reste négative et quelque peu défaitiste.

   En cas de cyberattaque, de cybermalveillance ou encore de négligence, les conséquences peuvent s’avérer plus ou moins désastreuses ; d’où l’importance de sensibiliser dirigeants comme employés aux différents cas de cybercriminalité au travail :

   • Ransomware
   • Fraude au président (extorsion)
   • Fuite de données sensibles par négligence d’un employé

   Voilà autant de cas susceptibles de forcer une entreprise à arrêter son activité ou même à devoir s’acquitter d’une amende auprès des Autorités de protection des données.

   Afin de ne pas se trouver handicapée et pénalisée, l’entreprise doit donc mettre en place des mesures pour sécuriser son système informatique. Il revient par ailleurs aux dirigeants de concevoir et de lancer des campagnes de sensibilisation et d’éducation avec pour public cible les salariés.

Rédigé par : Touré Sidik, Manager Sécurité Technique