Interview / Juin 2004

Eléments de sécurité réseau

Que l'on soit un particulier ou une entreprise, la sécurité c'est important ! A partir du moment où un ordinateur n'est pas isolé mais relié à une ou plusieurs machines via un réseau local ou Internet, les risques ne sont pas négligeables.
Benoît Delaunay et Bernard Boutherin, auteurs de Sécuriser un réseau Linux, nous livrent quelques éléments de sécurité réseau et nous expliquent pourquoi la sécurité informatique est un sujet sérieux. Il n'y a pas de système sans faille, alors mieux vaut prévenir que guérir !


Quels sont les dangers auxquels un réseau d'entreprise est exposé ?

“Concrètement, une attaque réussie sur le réseau d'une société pourra entraîner une perte financière, une perte de crédibilité ou d'image de marque, et enfin un risque juridique.”

Benoît Delaunay et Bernard Boutherin : Qu'il soit ou non ouvert sur Internet, le réseau informatique est de plus en plus souvent un élément clé du bon fonctionnement de l'entreprise. Ainsi, une indisponibilité prolongée de celui-ci peut entraîner le ralentissement voire la paralysie de l'activité de celle-ci. Concrètement, une attaque réussie sur le réseau d'une société pourra entraîner une perte financière (liée à l'indisponibilité des ressources ou à la destruction de données), une perte de crédibilité ou d'image de marque, et enfin un risque juridique si les ressources de l'entreprise sont utilisées à des fins illicites (serveur Warez, attaques par rebond).
A ces enjeux, il faut ajouter l'existence de vulnérabilités dans les systèmes ou dans les éléments du réseau qui donnent aux pirates le moyen de pénétrer le système d'information de l'entreprise.


Comment tester les failles de sécurité de son système informatique, comment mettre en évidence les vulnérabilités d'un système informatique ?

“Un large éventail d'outils de détection de vulnérabilités (tel que Nessus), de scanners réseau (nmap) ou encore de vérification d'intégrité (tripwire) des systèmes existent dans le monde du logiciel libre et commercial.”

B.D. et B.B. : Dans un premier temps il faut s'organiser pour être informé des vulnérabilités et des exploits du moment. Parmi les circuits d'information, il est utile de prévoir l'abonnement à un CERT (Computer Emergency Response Team) ou à une liste de diffusion telle que bugtraq. Ces listes diffusent des avis de sécurité indiquant les vulnérabilités des logiciels des systèmes et des réseaux.
Il est également nécessaire de réaliser des audits réguliers de l'ensemble du réseau pour éprouver en permanence les solutions de sécurité retenues.
Un large éventail d'outils de détection de vulnérabilités tel que Nessus, de scanners réseau (nmap) ou encore de vérification d'intégrité (tripwire) des systèmes existent dans le monde du logiciel libre et commercial. Ils permettent de réaliser l'audit et la surveillance du système informatique afin d'en assurer un suivi régulier.
Enfin une remise en question régulière de la politique de sécurité permet de rendre le système informatique plus robuste chaque jour.


Comment établir une politique de sécurité ?

B.D. et B.B. : Le déploiement d'une politique de sécurité risque souvent d'entrer en conflit avec la quête de fonctionnalités. Pour cette raison, il est important d'impliquer la direction dans la définition des enjeux et des objectifs de sécurité de l'entreprise. Cela est d'autant plus important, qu'il appartiendra à la direction, en dernier recours, d'effectuer les arbitrages entre fonctionnalités et sécurité, et d'assumer les risques résiduels encourus.
Une fois acquis le soutien de la direction, les objectifs de sécurité peuvent être fixés en fonction du contexte et des besoins exprimés. Des approches méthodologiques, telles que la méthode EBIOS, peuvent être utilisées pour définir ces objectifs.

La politique de sécurité se traduit alors par un certain nombre d'actions pratiques :

  • Au niveau organisationnel : définition de procédures pour l'achat, la connexion de matériels, l'ouverture de services, etc.
  • Au niveau du réseau : cloisonnement du réseau (définition de zones, filtrage des flux par rapport à l'extérieur et entre les zones).
  • Au niveau des systèmes : définition de procédures d'installation et de mise à jour.


Des indicateurs de sécurité pourront alors être mis en place. Leur intégration dans un tableau de bord permettra le suivi en temps réel de l'efficacité de la politique établie.


Qu'est-ce qu'un système de sécurité est censé garantir ?

B.D. et B.B. : D'un point de vue pratique, le système de sécurité a le plus souvent pour rôle de garantir la protection des données et la continuité de service nécessaire au bon fonctionnement de l'entreprise ou de l'organisme.
D'un point de vue plus général, il s'agit de protéger ce qui est un enjeu fort pour l'entreprise. Dans certains cas l'image de marque ou le respect des règles juridiques pourront être un enjeu plus fort que la disponibilité des ressources.


Quelles sont les solutions les plus sûres pour sécuriser l'échange d'informations sensibles ?

“Protéger les données en les chiffrant et en mettant en jeu des mécanismes d'authentification forte entre les différentes parties, permet d'élever le niveau de confidentialité et de sécurité des communications réseau.”

B.D. et B.B. : Il est parfois déconcertant de voir la facilité avec laquelle il est possible d'écouter ce qui passe sur un réseau et donc d'accéder aux informations plus ou moins sensibles qui transitent dessus. Protéger les données en les chiffrant et en mettant en jeu des mécanismes d'authentification forte entre les différentes parties, permet d'élever le niveau de confidentialité et de sécurité des communications réseau.
Des protocoles réseau (SSL, TLS...) et des outils (SSH) utilisant des algorithmes de cryptage apparaissent depuis quelques années et répondent convenablement à cette problématique. Attention néanmoins, la sécurité absolue n'existe pas et un pirate doté de moyens de calcul conséquents sera capable de décrypter un message chiffré avec ces techniques.


Est-il long d'apprendre à sécuriser un réseau Linux ?

“La sécurité ne doit pas être dissociée des bonnes pratiques d'administration système et réseau.”

B.D. et B.B. : Sécuriser un système voire un réseau de systèmes Linux commence par l'apprentissage de l'administration de Linux lui-même, puis du système en environnement réseau. La sécurité ne doit pas être dissociée des bonnes pratiques d'administration système et réseau.
On comprend facilement que l'apprentissage nécessaire pour protéger quelques machines sur ADSL sera moins pointu que s'il a pour objectif de protéger un réseau permettant des transactions financières. Par ailleurs, les techniques d'attaques et les méthodes de protection étant en perpétuelle évolution, l'apprentissage de la sécurité est permanent. Sécuriser un réseau Linux propose de détailler les bases nécessaires pour permettre au lecteur un bon départ dans cette aventure.


Propos recueillis par Laetitia Maraninchi.