Architecture technique
Volet 2/3 : L’indice DICT et les moyens de l’améliorer (Partie 2)
Nous nous retrouvons aujourd’hui pour la suite de notre article sur l’amélioration du DICT. Nous avons abordé dans la première partie de l’article comment garantir la disponibilité et l’intégrité des données. Nous allons maintenant vous présenter comment garantir la confidentialité et la traçabilité des données.
Confidentialité
La chapitre sur la confidentialité est plus long que les autres. En effet, la confidentialité peut être abordée sous trois aspect :
- La sécurité réseau et l’organisation des zones de confiance
- Le cloisonnement physique ou logique
- Le contrôle d’accès
Commençons par la sécurité réseau !
1. Organisation et sécurité des réseaux
Afin d’organiser et de garantir la sécurité du réseau, il nous faudra mettre un place une séparation des zones d’hébergement via la mise en place de zones réseaux par niveau d’accès :
a. Dans ces différentes zones réseaux nous retrouverons :
- Les services d’infrastructure (DHCP, DNS, NTP, etc.)
- Les services d’administration : Active Directory (LDAP), Radius, etc.
- Les services applicatifs métier : ERP, Mail, etc.
- Les services d’outillage d’exploitation : Métrologie supervision, Dépôt, Testing, Déploiement, Inventoring, etc.
- Les utilisateurs et les administrateurs
b. Ces zones doivent être séparées, séparées logiquement et/ou physiquement (cf. 2. Cloisonnement physique ou logique).
c. Elles sont chacune dans des sous-réseaux IP différents (Via VLAN, VRF , etc.).
d. Lors de la conception de ces zones, nous nous efforçons de séparer les services entre eux (services réseaux IP « Out of Band » / services d’administration / services applicatifs et également utilisateurs / administrateurs.)
e. Également et afin de garantir une sécurité optimale, chaque flux réseau inter-applicatif (interzones) devra bénéficier d’un chiffrement (TLS/SSL pour les flux web par exemple…), nous parlons ici du chiffrement in-transit. Pour terminer une fois la donnée stockée sur le disque dur de la machine, nous veillerions à ce que cette donnée soit également chiffrée, nous appelons cela le chiffrement at-rest :
- AES ou AES-CBC pour le chiffrement symétrique (Voir notre article “Le chiffrement : notions et vocabulaire”)
- RSA-OAEP pour le chiffrement asymétrique (Voir notre article “Le chiffrement : notions et vocabulaire”)
Nous avons représenté sur le schéma trois zones de confiance :
- Zone de confiance Faible : seront hébergées dans cette zone les données non critiques du SI, comme par exemple les serveurs Web ou encore des environnements de développement ne contenant pas de donnée de production. Attention, cela ne veut pas dire que cette zone n’est pas sécurisée. Ces zones sont généralement exposées à Internet
- Zone de confiance Moyenne : seront hébergées dans cette zone les données sensibles du SI, comme par exemple les bases de données ainsi que les environnements de production, nécessitant une continuité de service optimale ainsi qu’une sécurité renforcée.
- Zone de confiance Forte : Seront hébergés dans cette zone les outils d’administration du SI ayant accès à l’ensemble des autres zones réseaux du SI. Cette zone est la plus sécurisée et contrôlée du SI.
L’accès à ces zones se fait de manière « descendante », explication par l’exemple :
Un administrateur étant situé dans une zone de confiance Forte, le niveau de sécurité de cette zone est donc plus élevé que les autres zones réseaux du SI. L’administrateur pourra, grâce à cet accès, accéder à la zone de confiance moyenne ainsi qu’à la zone de confiance faible.
A l’inverse, un développeur étant situé dans une zone de confiance Faible, le niveau de sécurité de cette zone y étant moins poussé que dans les autres, il ne pourra alors accéder qu’aux zones de même niveau et uniquement aux ressources dont il a besoin :
Afin de garantir des accès sécurisés, rendez-vous au sous-chapitre 3 : « Le contrôle d’accès ».
2. Moyens de cloisonnement physique ou logique
Il existe une multitude de méthodes nous permettant de cloisonner les zones réseaux entre elles. Nous avons décidé de vous en présenter trois, les plus utilisé dans nos SI d’entreprise :
a) Pare-feu ou WAF :
- Inspection des paquets et contrôle d’accès
- Filtrage réseau (NACL) filtrage IP et filtrage applicatif (Security Groupe)
- Eviter les attaques issues d’Internet
- Bloquer et contrôler les flux interzones
Explication via un cas de figure classique : nous avons représenté sur le schéma un hacker qui cherche à accéder à notre SI. Le rôle du firewall sera de bloquer cet accès grâce aux règles de filtrage que nous aurons renseigné dans sa configuration :
Exemples de règle de filtrage d’un firewall :
b) Service proxy : pour les protocoles http/https, smtp, ftp, etc. / Proxy anonyme
Ce service vise à empêcher les utilisateurs du SI d’accéder à certaines URLs publiques ou privées.
Illustration d’exemple : nous avons représenté sur le schéma un utilisateur qui souhaite accéder à un site internet non autorisé. Le rôle du proxy sera de bloquer cet accès grâce aux règles de filtrage que nous aurons renseigné dans sa configuration :
Exemples de règle de filtrage d’un proxy :
c) La DMZ zone démilitarisée
Une zone démilitarisée est un sous-réseau séparé du réseau local et d’Internet par un pare-feu. Plus généralement, il s’agit d’un réseau servant d’intermédiaire entre deux zones de confiance différentes (comme c’est le cas dans le domaine militaire, d’où ce nom).
Explication par l’image : le sous-réseau concerné contient les machines étant susceptibles d’être accédées depuis Internet (Zone de confiance faible) :
Plus généralement, il s’agit d’un réseau servant d’intermédiaire entre deux zones de confiance différente (comme c’est le cas dans le domaine militaire, d’où ce nom).
En cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la DMZ et non au réseau local contenant les données de production de l’entreprise :
3. Contrôle d’accès et sécurité applicative
Identifier et authentifier : il s’agit ici de connaître l’identité d’un utilisateur et vérifier celle-ci pour mettre à sa disposition uniquement les ressources auxquelles il a été clairement admis qu’il pourrait y accéder (avec une nuance entre la consultation et la modification de ces ressources).
Pour garantir une configuration sécurisée, nous tâcherons de mettre en place :
a. Une authentification sécurisée sur des annuaires distincts (LDAPS) par type de profil
b. Une gestion des utilisateurs (group policy), des ressources et des accès centralisée et contrôlée par quelques membres identifiés de la DSI.
c. Une gestion des accès externe pour :
- Permettre aux utilisateurs d’accéder aux ressources du SI depuis l’extérieur du réseau interne via un accès VPN IPSec (par exemple)
- Permettre le télétravail
- Permettre l’accès aux Administrateurs Nomade
- Permettre l’accès aux TMA (Tierce maintenance applicative)
d. Une sécurité applicative via des systèmes de détection/prévention d’intrusion (IDS/IPS), filtrage antivirus et logiciels malveillants, chiffrement de tous les disques
Explication par la schématisation : On remarque là aussi que, selon le profil, l’utilisateur aura accès à telle ou telle zone réseaux.
Les utilisateurs auront accès aux zones de confiance faible alors que les administrateurs auront accès aux zones de confiance forte.
La TMA (Tierce maintenance applicative) représente les accès constructeurs. Par exemple la TMA SFR (FAI) pourra accéder à ses équipements via une zone bastion (élément du réseau informatique qui est situé dans une partie accessible depuis l’extérieur) et ainsi administrer / mettre à jour ses routeurs …
Connaître l’identité d’un utilisateur et vérifier celle-ci pour mettre à sa disposition uniquement les ressources auxquelles il a été clairement admis qu’il pourrait y accéder (avec une nuance entre la consultation et la modification de ces ressources).
Passons maintenant au dernier volet de notre présentation, le T du DICT, la traçabilité.
Traçabilité
Pour rappel, et comme indiquer au début de l’article, la traçabilité (ou « preuve ») garantit que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. Pour réaliser cette tâche il existe là encore plusieurs méthodes :
a. Mise en place d’un outil pour tracer les accès :
Exemples :
- Supervision des accès : les annuaires d’entreprises AD (Active Directory) réalisent en temps réel le suivi des accès à tel ou tel ressource
- Supervision du trafic réseau (flux) : les équipements réseaux de dernière génération permettent également de tracer toute tentative d’accès autorisée ou non autorisée.
b. Conservation et exploitation des logs avec par exemple la solution OpenSource ELK
c. Déploiement d’un SIEM : ce sujet sera abordé dans un prochain article par mon collègue Rémi Beraux
d. Sécurité applicative via des systèmes de détection/prévention d’intrusion, IDS/IPS : ce sujet sera également abordé dans un prochain article par mon collègue Rémi Beraux
Explication par la schématisation : nous avons représenté sur le schéma ci-dessous un système de monitoring. Le serveur central se trouvant en zone d’administration aura accès aux équipements réseaux et serveurs de l’ensemble du SI pour contrôler plusieurs paramètres comme, par exemple, contrôler les accès administrateurs sur tel ou tel équipement et ainsi s’assurer que les accès ne sont pas compromis.
Que retenir de cet article
Vous possédez maintenant quelques clés vous permettant d’améliorer l’indice DICT de votre système d’information et vous êtes désormais en mesure d’en comprendre les aspects. Nous vous présenterons dans le troisième article de la série, différents exemples vous permettant de mettre en pratique notre démarche.
Nous ne pouvons évidemment pas aborder tous les moyens permettant d’améliorer l’indice DICT sur un article mais si toutefois le besoin de sécuriser votre SI se fait urgemment ressentir, n’hésitez pas à contacter notre cabinet de conseil Pramana. Nous tacherons de vous accompagner tout au long de votre projet, qu’il soit orienté cloud via nos architectes certifiés AWS et AZURE, ou sur site via nos architectes forts de leurs expériences réussies dans le domaine.
Antoine Gaydon
Consultant en Architecture Technique
Pramana