Les hackers ? Indispensables ? Vu sous cet angle, la question paraît idiote. Mais que serait un bon article sans un titre accrocheur après tout !
Hackers, pourquoi sont-ils indispensables ?
Effectivement : pas de hackers, pas de piratage, pas de problème. Point final. Dans un monde idéal, cette idée pourrait fonctionner. Aucun firewall, aucun IPS, aucun WAF, notre travail d’informaticien serait presque trop facile. Seulement voilà, dans le monde réel, une telle situation est impossible – ou suicidaire – et il est donc nécessaire de mettre en place tous les équipements de sécurité possibles. Maintenant que les bases de la sécurité sont comprises et implémentées en entreprise, il reste une question : faut-il avoir confiance dans ces équipements ?
Les briques sécurité : un bon début !
A la fin des années 80 naissait le firewall. Stateless, puis statefull, par la suite UTM, et enfin Next-Gen, cet équipement a eu de nombreuses améliorations et est maintenant bien intégré en entreprise. C’est évidemment l‘équipement de référence lorsque l’on parle de sécurité informatique.
Suite à cela, de nombreuses technologies ont vu le jour, au hasard les IPS, les anti-virus, les anti-spams, et plus récemment les anti-APT. Disons-le clairement : c’est une bonne chose ! Les enjeux de l’informatique étant de plus en plus importants, il est nécessaire d’avoir une sécurité optimale.
Pour autant, ces équipements, aussi bien conçus soient-ils, ne sont pas parfaits ! Il suffit de regarder les patchs de sécurité et les releases notes pour comprendre qu’ils peuvent contenir des failles de sécurité (Heartbleed, Shellshock, Ghost pour les plus importantes vulnérabilités récentes). Les campagnes d’upgrade sont-elles toutes gérées en permanence ?
De plus, il est important de prendre en compte le facteur humain : qui n’a jamais créé une règle trop ouverte « pour tester », sans jamais la remodifier ?
La liste d’interrogations est plutôt longue : les mises à jour de signatures IPS sont-elles effectuées ? Les WAF ne risquent-ils pas de laisser passer des vrais positifs par erreur ? Comment gérer les 0-day ? L’architecture ne possède-t-elle pas de faiblesses by design ?
Si vous répondez correctement à toutes ces questions, bravo ! Votre SI est protégé et il est inutile de lire le reste de cet article, mais je pense ne pas perdre beaucoup de lectorat ici.
Il est donc vital d’avoir une chaîne de sécurité, mais il est tout aussi vital de faire suivre cette chaîne par un véritable management de la sécurité au quotidien. Expliquer les moyens de sécuriser ses appliances sort cependant du cadre de cet article, et d’autres personnes le font d’ailleurs très bien.
Les tests automatisés : la seconde marche
Avoir une armée d’équipements de sécurité est une bonne chose, il est inutile – et dangereux – de penser le contraire. Mais pourquoi tenter de mettre des rustines alors qu’il est plus intéressant de mettre une roue en bon état. En effet, aussi utile que soit un WAF, bloquer directement l’attaque à la base, sur l’application, est la meilleure solution. C’est d’une part un comportement anormal que de laisser une vulnérabilité ouverte, et d’autre part une faiblesse potentielle : comment peut-on savoir qu’une attaque est en cours si l’équipement de sécurité ne peut pas la voir, en raison d’une base de signatures non mise à jour, ou d’une attaque trop complexe pour être vue ?
Malheureusement, sécuriser l’applicatif à la base est impossible. Entre timing serrés et failles inconnues des développeurs, il n’est pas choquant – voire presque normal – qu’il existe des vulnérabilités sur les applicatifs. Vulnérabilités qui ne sont pas corrigées par la suite à cause des contraintes expliquées plus tôt.
La question est donc posée : comment parer les attaques ?
La réponse est simple : en attaquant ! Plusieurs éditeurs de solutions proposent des tests de pénétration automatisés. Ces outils vont scanner des machines pour détecter les systèmes d’exploitation, les ports ouverts, mais également les services liés à chaque port, ainsi que les applicatifs. Ce sont donc des outils all-in-one qui vont permettre de donner une vue d’ensemble de la sécurité d’un réseau en lançant des attaques, afin de détecter les risques potentiels. Ainsi, une fois les risques détectés, des actions de remédiation peuvent être mises en place afin de bloquer les failles.
Ces tests permettent d’une part de valider le bon fonctionnement de l’architecture en termes d’attaque, et d’autre part de se rapprocher d’une sécurité optimale. C’est donc une étape très importante pour un SI.
L’audit de sécurité : le haut du podium
Effectuer un test automatisé est un pas en avant pour sécuriser une infrastructure. Effectuer un audit de sécurité, c’est faire un bond de géant.
Mais pourquoi faire un audit, puisqu’un test automatisé a déjà été mis en place ? Tout simplement pour détecter l’indétectable. Les tests automatisés sont un atout indéniable, ils sont très importants car ils mettent en avant la plupart des failles présentes, mais un audit manuel, effectué par un expert en sécurité ne peut à l’heure actuelle pas être remplacé par une machine. En effet, nombre d’attaques sont invisibles lors de scans. Prenons un exemple simple, une session utilisateur : lorsqu’un utilisateur se connecte à un site web, l’applicatif va lui générer un ID de session pour que cette personne soit reconnue. Cet ID est normalement unique et impossible à retrouver par un attaquant, permettant donc d’assurer une sécurité du compte connecté. Imaginons cependant que cet ID puisse être retrouvé par un quelconque moyen (entropie trop faible, brute force, etc.), l’intelligence par nature limitée d’un scanner automatique ne pourra détecter cette faiblesse –en raison de la réflexion qu’il faut avoir pour analyser et détecter la manière de récupérer cet ID -, contrairement à un expert qui, de par son expérience et ses compétences, verra rapidement une vulnérabilité, lui permettant ainsi de voler la session de sa cible. Cet exemple simpliste – bien qu’avéré et détecté durant certains audits – prouve la nécessité d’un test d’intrusion réaliste. On peut également compter sur certaines attaques de type 0-day, par définition inconnues des outils automatiques, et qui pourront être testées par des équipes de pentesteurs compétentes. L’analyse des attaques permet également d’éviter les faux positifs inutiles.
Ces quelques points permettent de mettre en avant l’avantage indéniable d’un audit effectué par un expert en sécurité. Bien évidemment, cela ne peut pas garantir une sécurité 100% effective. Il sera toujours possible pour une personne mal intentionnée de s’introduire dans le système d’information d’une entreprise, mais la tâche sera d’une part beaucoup plus ardue, et d’autre part détectée avant la compromission par un SIEM couplé aux appliances de sécurité.
Ainsi, une sécurité basée sur ces trois briques sera la plus effective car les éléments essentiels auront été mis en place et validés. Un SI étant en permanence en mouvement, il est d’ailleurs recommandé d’effectuer des scans automatiques et manuels de manière régulière. Par nature, un audit de sécurité donne un point de vue à un instant T, mais ne protège pas des modifications futures.
Pour résumer, il est important de préciser que toutes ces briques sont complémentaires et ne peuvent se substituer. En effet, retirer l’un de ces trois éléments engendre des risques importants. Il est vital d’avoir des équipements proposant une base de sécurité, mais si cette sécurité n’est pas confrontée à la réalité, elle est inutile. A l’inverse, effectuer un audit sans avoir configuré et validé le bon fonctionnement de la chaine de sécurité donnera des résultats erronés.
Il est maintenant temps de répondre à la question initiale : non, il ne faut pas avoir une confiance aveugle dans les équipements de sécurités installés. Mais, oui, ces équipements sont vitaux et permettent d’atténuer grandement le risque de compromission.
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.