Ce qui peut faire de votre sécurité un véritable mouton à cinq pattes est l’ajout d’un cinquième élément : le contrôle des accès. C’est un concept très simple. Lorsqu’un périphérique tente de se connecter à votre réseau, ce dernier est vérifier. C’est à dire, nous regardons qu’il est exempt de code malicieux avant d’accepter la réception de données à partir de l’utilisateur agissant sur ce périphérique.

1. La sécurité informatique : un mouton a cinq pattes
La sécurité commence avec la lettre « A »
L’authentification et l’autorisation sont deux attributs fondamentaux des bonnes pratiques en cybersécurité.
Couramment utilisés, ces deux termes sont souvent confondus.
Rappelons que, par définition, l’authentification est un moyen de prouver son identité dans le milieu
informatique. L’authentification sert également comme moyen de prouver qu’un système informatique est
l’initiateur d’un paquet ou qu’une application telle qu’un serveur Web est l’agent d’une transaction en ligne ;
tandis que l’autorisation est le processus de validation des droits d’accès à un bien ou une ressource d’une
identité.
En d’autres mots, l’authentification s’effectue au préalable. L’identité validée doit être reconnue, recevant ensuite
les autorisations d’accès conformément à la politique de sécurité.
La plupart des organisations et leurs succursales utilisent une ou plusieurs méthodes d’authentification. En contre
partie, les entreprises consacrent très peu d’attention aux procédées d’autorisation. Généralement, les utilisateurs
authentifiés dans les succursales ont accès à des comptes sur les serveurs locaux, ainsi que sur les serveurs
intranet hébergés au sein du siège social de l’entreprise. Mais ils ont également un accès illimité au Web et aux
applications collaboratives comme le service de messagerie et de VoIP.
Supposons que votre organisation souhaite mettre en place une stratégie d’authentification pour ses succursales.
Je vous recommande de revoir en même temps la politique d’autorisation et d’envisager la mise en œuvre du
filtrage du trafic sortant. Plutôt que de permettre l’accès à un service externe, commencez par une règle « DENY
ALL » et autorisez dans un deuxième temps l’accès à l’ensemble des applications que vous jugez appropriées
pour l’entreprise.
Le « Triple A »
Les experts ont profité du contexte pour développer des analogies sur les fondamentaux de la sécurité. Une
ancienne analogie très populaire compare les attributs essentiels de la sécurité à un tabouret à trois pattes pour
illustrer pourquoi la sécurité, comme le tabouret, nécessite plus de deux pattes pour se tenir debout. Les
fournisseurs de serveurs d’authentification, en particulier ceux qui ont pris en charge ce que l’on appelle le
protocole d’authentification « RADIUS », ont choisi d’ajouter comme troisième étape la comptabilité. Ils ont mis
en avant le terme « Triple A » (en anglais, « Authentication – Authorisation – Accounting ») pour susciter un
intérêt parmi les fournisseurs de services qui explorent les solutions alternatives à l’accès Internet mensuel
forfaitaire.
Aujourd’hui, les professionnels de la sécurité estiment que la comptabilité était en effet le meilleur choix pour
compléter les processus d’authentification et d’autorisation. De plus, ils remplacent ce terme par un attribut plus
général qui est l’ « audit » (le processus de suivi et d’enregistrement des événements réseau liés à la sécurité,
qui a pour but d’assurer la corrélation et l’analyse a posteriori).
Un audit fait appel généralement à l’analyse des logs provenant de la plupart des serveurs et des systèmes de

2. Tabouret à quatre pattes
La sécurité d’une entreprise est considérée comme étant robuste seulement si elle prend en compte les 3
attributs qui composent le « Triple A » : l’authentification, l’autorisation et l’audit (voir le précédent article sur
« La sécurité informatique : un mouton a cinq pattes – part I »). De plus, les experts rajoutent une quatrième
étape afin de rendre ce tabouret à trois pattes complètement stable : il s’agit de l’authenticité.
L'authenticité est un processus de vérification de l'intégrité des données. L'authenticité rassure le destinataire
que les données entrantes sontune copie exacte des données transmises et qu’elles ont été vraiment produites
par l'expéditeur. Cette mesure peut être implémentée au sein de votre système de plusieurs façons et de
manière incrémentielle. Il faut réfléchir aux moyens de protection de l'intégrité de vos données. Par exemple, il
est utile de mettre des mesures anti-falsification sur les serveurs pour protéger les fichiers critiques contre toute
modification non autorisée ou involontaire. Si votre entreprise échange régulièrement des informations
sensibles, pensez à demander à vos employés de « hacher » ces documents en préalable.
Historiquement, l'authentification est considérée comme le point de départ de tous les services de sécurité.
Toutefois, voyons quelques exemples où vérifier l’identité d’une personne n'est pas suffisant.
• Mary prouve son identité à un inspecteur de la sécurité du transport aérien en utilisant son passeport délivré
par le gouvernement. Le fait d’avoir confirméson identité ne nous rassure pas en ce qui concerne ses intentions
(Mary peut cacher une arme, par exemple).
• John prouve son identité auprès d'un agent des douanes et de l'immigration des États-Unis en utilisant son
permis de conduire. Savoir que John est vraiment John ne nous dit rien sur son état de santé (John peut être
porteur d’une maladie contagieuse, par exemple).
• Beth se dirige vers une réunion confidentielle du conseil d'administration où les revenus de sa société seront
examinés avant la divulgation publique de son rapport annuel. Elle prouve son identité au gardien de sécurité
en utilisant son badge délivré par l'entreprise. Malgré que son identité soit confirmée, Beth peut être un espion
industriel qui enregistre toutes les conversations.
Supposons que Mary, John et Beth ne soient pas des humains, mais des ordinateurs essayant de se connecter
à votre réseau. Mary cache un rootkit. John est infecté par un virus. Beth héberge un keylogger. Ces exemples
démontrent que l'authentification seule ne peut pas vous aider à confirmer avec sûreté la fiabilité d’un
périphérique à partir duquel un utilisateur s'authentifiera et accédera ensuite à vos données.
Le tabouret, c’est un mouton à cinq pattes en fait !
Ce qui peut faire de votre sécurité un véritable mouton à cinq pattes est l’ajout d’un cinquième élément : le
contrôle des accès. C'est un concept très simple. Lorsqu'un périphérique tente de se connecter à votre réseau,
ce dernier est vérifier. C’est à dire, nous regardons qu'il est exempt de code malicieux avant d'accepter la
réception de données à partir de l’utilisateur agissant sur ce périphérique.
Nous pouvons vérifier que toutes les mesures de sécurité – pare-feu, antivirus, antispyware, IDS – sont à jour
ou correctement configurés et fonctionnent comme prévu. Si un des périphériques ne satisfait pas tous ces
critères, nous pouvons bloquer la réception de données ou le mettre en quarantaine.
Un grand nombre d’entreprises ont déjà mis en place ces cinq éléments et cherchent à déployer la même
stratégie dans leurs succursales.Sivotre organisation augmente, vous pouvez envisager un cours de formation
CCNA pour le personnel en charge de la sécurité de votre réseau. Heureusement, le contrôle des accès a déjà
été incorporé dans de nombreux produits actuels et peut être utilisé en complément avec d’autres solutions
pour obtenir une analyse en profondeur.
Liens : https://www.itrust.fr/securite-informatique-monton-cinq-pattes
https://www.itrust.fr/cybersecurite-mouton-cinq-pattes-part-ii/