Que l'on soit un particulier ou une entreprise, la sécurité c'est
important ! A partir du moment où un ordinateur n'est pas isolé mais relié
à une ou plusieurs machines via un réseau local ou Internet, les risques ne sont
pas négligeables.
Benoît Delaunay et Bernard Boutherin, auteurs de
Sécuriser un réseau Linux,
nous livrent quelques éléments de sécurité réseau
et nous expliquent pourquoi la sécurité informatique est un sujet sérieux.
Il n'y a pas de système sans faille, alors mieux vaut prévenir que guérir !
“Concrètement, une attaque réussie sur le réseau d'une société pourra entraîner une perte financière, une perte de crédibilité ou d'image de marque, et enfin un risque juridique.”
Benoît Delaunay et Bernard Boutherin : Qu'il soit ou non ouvert sur Internet, le réseau informatique est de plus en plus souvent un élément clé du bon fonctionnement de l'entreprise. Ainsi, une indisponibilité prolongée de celui-ci peut entraîner le ralentissement voire la paralysie de l'activité de celle-ci. Concrètement, une attaque réussie sur le réseau d'une société pourra entraîner une perte financière (liée à l'indisponibilité des ressources ou à la destruction de données), une perte de crédibilité ou d'image de marque, et enfin un risque juridique si les ressources de l'entreprise sont utilisées à des fins illicites (serveur Warez, attaques par rebond).
A ces enjeux, il faut ajouter l'existence de vulnérabilités dans les systèmes ou dans les éléments du réseau qui donnent aux pirates le moyen de pénétrer le système d'information de l'entreprise.
“Un large éventail d'outils de détection de vulnérabilités (tel que Nessus), de scanners réseau (nmap) ou encore de vérification d'intégrité (tripwire) des systèmes existent dans le monde du logiciel libre et commercial.”
B.D. et B.B. : Dans un premier temps il faut s'organiser
pour être informé des vulnérabilités et des exploits du moment. Parmi les circuits
d'information, il est utile de prévoir l'abonnement à un CERT (Computer Emergency Response
Team) ou à une liste de diffusion telle que bugtraq. Ces listes diffusent des avis de
sécurité indiquant les vulnérabilités des logiciels des systèmes et des réseaux.
Il est également nécessaire de réaliser des audits réguliers de
l'ensemble du réseau pour éprouver en permanence les solutions de
sécurité retenues.
Un large éventail d'outils de détection de vulnérabilités tel que
Nessus, de scanners réseau (nmap) ou encore de vérification
d'intégrité (tripwire) des systèmes existent dans le monde du logiciel
libre et commercial. Ils permettent de réaliser l'audit et la
surveillance du système informatique afin d'en assurer un suivi
régulier.
Enfin une remise en question régulière de la politique de sécurité
permet de rendre le système informatique plus robuste chaque jour.
B.D. et B.B. : Le déploiement d'une politique de sécurité
risque souvent d'entrer en conflit avec la quête de fonctionnalités. Pour cette
raison, il est important d'impliquer la direction dans la définition des enjeux
et des objectifs de sécurité de l'entreprise. Cela est d'autant plus important,
qu'il appartiendra à la direction, en dernier recours, d'effectuer les arbitrages
entre fonctionnalités et sécurité, et d'assumer les risques résiduels encourus.
Une fois acquis le soutien de la direction, les objectifs de sécurité peuvent
être fixés en fonction du contexte et des besoins exprimés. Des approches
méthodologiques, telles que la méthode EBIOS, peuvent être utilisées pour définir
ces objectifs.
La politique de sécurité se traduit alors par un certain nombre d'actions pratiques :
Des indicateurs de sécurité pourront alors être mis en place. Leur intégration dans un tableau de bord permettra le suivi en temps réel de l'efficacité de la politique établie.
B.D. et B.B. : D'un point de vue pratique, le système
de sécurité a le plus souvent pour rôle de garantir la protection des données
et la continuité de service nécessaire au bon fonctionnement de l'entreprise
ou de l'organisme.
D'un point de vue plus général, il s'agit de protéger ce qui est un enjeu fort
pour l'entreprise. Dans certains cas l'image de marque ou le respect des règles
juridiques pourront être un enjeu plus fort que la disponibilité des ressources.
“Protéger les données en les chiffrant et en mettant en jeu des mécanismes d'authentification forte entre les différentes parties, permet d'élever le niveau de confidentialité et de sécurité des communications réseau.”
B.D. et B.B. : Il est parfois déconcertant de voir
la facilité avec laquelle il est possible d'écouter ce qui passe sur un réseau
et donc d'accéder aux informations plus ou moins sensibles qui transitent dessus.
Protéger les données en les chiffrant et en mettant en jeu des mécanismes
d'authentification forte entre les différentes parties, permet d'élever le niveau
de confidentialité et de sécurité des communications réseau.
Des protocoles réseau (SSL, TLS...) et des outils (SSH) utilisant des
algorithmes de cryptage apparaissent depuis quelques années et
répondent convenablement à cette problématique. Attention néanmoins, la
sécurité absolue n'existe pas et un pirate doté de moyens de calcul
conséquents sera capable de décrypter un message chiffré avec ces techniques.
“La sécurité ne doit pas être dissociée des bonnes pratiques d'administration système et réseau.”
B.D. et B.B. : Sécuriser un système voire un réseau
de systèmes Linux commence par l'apprentissage de l'administration de Linux
lui-même, puis du système en environnement réseau. La sécurité ne doit pas être
dissociée des bonnes pratiques d'administration système et réseau.
On comprend facilement que l'apprentissage nécessaire pour protéger
quelques machines sur ADSL sera moins pointu que s'il a pour objectif
de protéger un réseau permettant des transactions financières. Par
ailleurs, les techniques d'attaques et les méthodes de protection étant
en perpétuelle évolution, l'apprentissage de la sécurité est permanent.
Sécuriser un réseau Linux propose de détailler les bases nécessaires
pour permettre au lecteur un bon départ dans cette aventure.
Propos recueillis par Laetitia Maraninchi.