Open in app

Sign in

Write

Sign in

Architecture technique

Volet 2/3 : L’indice DICT et les moyens de l’améliorer (Partie 2)

8 min readJul 23, 2021

--

Nous nous retrouvons aujourd’hui pour la suite de notre article sur l’amélioration du DICT. Nous avons abordé dans la première partie de l’article comment garantir la disponibilité et l’intégrité des données. Nous allons maintenant vous présenter comment garantir la confidentialité et la traçabilité des données.

Confidentialité

La chapitre sur la confidentialité est plus long que les autres. En effet, la confidentialité peut être abordée sous trois aspect :

  1. La sécurité réseau et l’organisation des zones de confiance
  2. Le cloisonnement physique ou logique
  3. Le contrôle d’accès

Commençons par la sécurité réseau !

1. Organisation et sécurité des réseaux

Afin d’organiser et de garantir la sécurité du réseau, il nous faudra mettre un place une séparation des zones d’hébergement via la mise en place de zones réseaux par niveau d’accès :

a. Dans ces différentes zones réseaux nous retrouverons :

  • Les services d’infrastructure (DHCP, DNS, NTP, etc.)
  • Les services d’administration : Active Directory (LDAP), Radius, etc.
  • Les services applicatifs métier : ERP, Mail, etc.
  • Les services d’outillage d’exploitation : Métrologie supervision, Dépôt, Testing, Déploiement, Inventoring, etc.
  • Les utilisateurs et les administrateurs

b. Ces zones doivent être séparées, séparées logiquement et/ou physiquement (cf. 2. Cloisonnement physique ou logique).

c. Elles sont chacune dans des sous-réseaux IP différents (Via VLAN, VRF , etc.).

d. Lors de la conception de ces zones, nous nous efforçons de séparer les services entre eux (services réseaux IP « Out of Band » / services d’administration / services applicatifs et également utilisateurs / administrateurs.)

e. Également et afin de garantir une sécurité optimale, chaque flux réseau inter-applicatif (interzones) devra bénéficier d’un chiffrement (TLS/SSL pour les flux web par exemple…), nous parlons ici du chiffrement in-transit. Pour terminer une fois la donnée stockée sur le disque dur de la machine, nous veillerions à ce que cette donnée soit également chiffrée, nous appelons cela le chiffrement at-rest :

Nous avons représenté sur le schéma trois zones de confiance :

  • Zone de confiance Faible : seront hébergées dans cette zone les données non critiques du SI, comme par exemple les serveurs Web ou encore des environnements de développement ne contenant pas de donnée de production. Attention, cela ne veut pas dire que cette zone n’est pas sécurisée. Ces zones sont généralement exposées à Internet
  • Zone de confiance Moyenne : seront hébergées dans cette zone les données sensibles du SI, comme par exemple les bases de données ainsi que les environnements de production, nécessitant une continuité de service optimale ainsi qu’une sécurité renforcée.
  • Zone de confiance Forte : Seront hébergés dans cette zone les outils d’administration du SI ayant accès à l’ensemble des autres zones réseaux du SI. Cette zone est la plus sécurisée et contrôlée du SI.

L’accès à ces zones se fait de manière « descendante », explication par l’exemple :

Un administrateur étant situé dans une zone de confiance Forte, le niveau de sécurité de cette zone est donc plus élevé que les autres zones réseaux du SI. L’administrateur pourra, grâce à cet accès, accéder à la zone de confiance moyenne ainsi qu’à la zone de confiance faible.

Figure 1— Les zones de confiances, accès administrateur

A l’inverse, un développeur étant situé dans une zone de confiance Faible, le niveau de sécurité de cette zone y étant moins poussé que dans les autres, il ne pourra alors accéder qu’aux zones de même niveau et uniquement aux ressources dont il a besoin :

Figure 2— Les zones de confiances, accès utilisateurs

Afin de garantir des accès sécurisés, rendez-vous au sous-chapitre 3 : « Le contrôle d’accès ».

2. Moyens de cloisonnement physique ou logique

Il existe une multitude de méthodes nous permettant de cloisonner les zones réseaux entre elles. Nous avons décidé de vous en présenter trois, les plus utilisé dans nos SI d’entreprise :

a) Pare-feu ou WAF :

  • Inspection des paquets et contrôle d’accès
  • Filtrage réseau (NACL) filtrage IP et filtrage applicatif (Security Groupe)
  • Eviter les attaques issues d’Internet
  • Bloquer et contrôler les flux interzones

Explication via un cas de figure classique : nous avons représenté sur le schéma un hacker qui cherche à accéder à notre SI. Le rôle du firewall sera de bloquer cet accès grâce aux règles de filtrage que nous aurons renseigné dans sa configuration :

Figure 3— Le rôle du firewall

Exemples de règle de filtrage d’un firewall :

b) Service proxy : pour les protocoles http/https, smtp, ftp, etc. / Proxy anonyme

Ce service vise à empêcher les utilisateurs du SI d’accéder à certaines URLs publiques ou privées.

Illustration d’exemple : nous avons représenté sur le schéma un utilisateur qui souhaite accéder à un site internet non autorisé. Le rôle du proxy sera de bloquer cet accès grâce aux règles de filtrage que nous aurons renseigné dans sa configuration :

Figure 4— Le rôle du proxy

Exemples de règle de filtrage d’un proxy :

c) La DMZ zone démilitarisée

Une zone démilitarisée est un sous-réseau séparé du réseau local et d’Internet par un pare-feu. Plus généralement, il s’agit d’un réseau servant d’intermédiaire entre deux zones de confiance différentes (comme c’est le cas dans le domaine militaire, d’où ce nom).

Explication par l’image : le sous-réseau concerné contient les machines étant susceptibles d’être accédées depuis Internet (Zone de confiance faible) :

Plus généralement, il s’agit d’un réseau servant d’intermédiaire entre deux zones de confiance différente (comme c’est le cas dans le domaine militaire, d’où ce nom).

Figure 5— Cloisonnement des zones de confiance- Accès client

En cas de compromission d’un des services dans la DMZ, le pirate n’aura accès qu’aux machines de la DMZ et non au réseau local contenant les données de production de l’entreprise :

Figure 6— Cloisonnement des zones de confiance — Tentative d’accès interdit et bloquée par le firewall

3. Contrôle d’accès et sécurité applicative

Identifier et authentifier : il s’agit ici de connaître l’identité d’un utilisateur et vérifier celle-ci pour mettre à sa disposition uniquement les ressources auxquelles il a été clairement admis qu’il pourrait y accéder (avec une nuance entre la consultation et la modification de ces ressources).

Pour garantir une configuration sécurisée, nous tâcherons de mettre en place :

a. Une authentification sécurisée sur des annuaires distincts (LDAPS) par type de profil

b. Une gestion des utilisateurs (group policy), des ressources et des accès centralisée et contrôlée par quelques membres identifiés de la DSI.

c. Une gestion des accès externe pour :

  • Permettre aux utilisateurs d’accéder aux ressources du SI depuis l’extérieur du réseau interne via un accès VPN IPSec (par exemple)
  • Permettre le télétravail
  • Permettre l’accès aux Administrateurs Nomade
  • Permettre l’accès aux TMA (Tierce maintenance applicative)

d. Une sécurité applicative via des systèmes de détection/prévention d’intrusion (IDS/IPS), filtrage antivirus et logiciels malveillants, chiffrement de tous les disques

Explication par la schématisation : On remarque là aussi que, selon le profil, l’utilisateur aura accès à telle ou telle zone réseaux.

Les utilisateurs auront accès aux zones de confiance faible alors que les administrateurs auront accès aux zones de confiance forte.

La TMA (Tierce maintenance applicative) représente les accès constructeurs. Par exemple la TMA SFR (FAI) pourra accéder à ses équipements via une zone bastion (élément du réseau informatique qui est situé dans une partie accessible depuis l’extérieur) et ainsi administrer / mettre à jour ses routeurs …

Connaître l’identité d’un utilisateur et vérifier celle-ci pour mettre à sa disposition uniquement les ressources auxquelles il a été clairement admis qu’il pourrait y accéder (avec une nuance entre la consultation et la modification de ces ressources).

Figure 7- Accès distants par type de profil

Passons maintenant au dernier volet de notre présentation, le T du DICT, la traçabilité.

Traçabilité

Pour rappel, et comme indiquer au début de l’article, la traçabilité (ou « preuve ») garantit que les accès et tentatives d’accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. Pour réaliser cette tâche il existe là encore plusieurs méthodes :

a. Mise en place d’un outil pour tracer les accès :

Exemples :

  • Supervision des accès : les annuaires d’entreprises AD (Active Directory) réalisent en temps réel le suivi des accès à tel ou tel ressource
  • Supervision du trafic réseau (flux) : les équipements réseaux de dernière génération permettent également de tracer toute tentative d’accès autorisée ou non autorisée.

b. Conservation et exploitation des logs avec par exemple la solution OpenSource ELK

c. Déploiement d’un SIEM : ce sujet sera abordé dans un prochain article par mon collègue Rémi Beraux

d. Sécurité applicative via des systèmes de détection/prévention d’intrusion, IDS/IPS : ce sujet sera également abordé dans un prochain article par mon collègue Rémi Beraux

Explication par la schématisation : nous avons représenté sur le schéma ci-dessous un système de monitoring. Le serveur central se trouvant en zone d’administration aura accès aux équipements réseaux et serveurs de l’ensemble du SI pour contrôler plusieurs paramètres comme, par exemple, contrôler les accès administrateurs sur tel ou tel équipement et ainsi s’assurer que les accès ne sont pas compromis.

Figure 8— Monitoring des équipements

Que retenir de cet article

Vous possédez maintenant quelques clés vous permettant d’améliorer l’indice DICT de votre système d’information et vous êtes désormais en mesure d’en comprendre les aspects. Nous vous présenterons dans le troisième article de la série, différents exemples vous permettant de mettre en pratique notre démarche.

Nous ne pouvons évidemment pas aborder tous les moyens permettant d’améliorer l’indice DICT sur un article mais si toutefois le besoin de sécuriser votre SI se fait urgemment ressentir, n’hésitez pas à contacter notre cabinet de conseil Pramana. Nous tacherons de vous accompagner tout au long de votre projet, qu’il soit orienté cloud via nos architectes certifiés AWS et AZURE, ou sur site via nos architectes forts de leurs expériences réussies dans le domaine.

Antoine Gaydon
Consultant en Architecture Technique
Pramana

Confidentialité
Traçabilité
Sécurité
Architecture
Mission

--

--

Written by Pramana

145 Followers

Designing The Digital World — Data Governance, Enterprise Architecture — more on pramana.fr and on LinkedIn

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams