Pour ceux qui ont eu l’occasion d’aller dans la magnifique région de Perpignan, vous aurez sans doute visité le château de Peyrepertuse.
De tous les châteaux cathares, c’est celui qui laisse la plus forte impression quant à la structure de défense mise en oeuvre. Enkysté sur un piton rocheux, le château est entouré d’un fossé sur sa partie “accessible” et dispose de 3 enceintes.
Le syndrome Maginot !
L’architecture multi niveaux est, hélas, peu pratiquée dans les enceintes des entreprises. Le 1er niveau, dans le domaine informatique, consiste en la mise en place d’un pare-feu. Mais se contenter de ce pare-feu, comme le font la majorité des responsables, est une erreur, pire une faute. Le montant investi dans le matériel actif ne peut pas à lui seul justifier la faiblesse du raisonnement qui nous renvoie à l’échec de la ligne Maginot. Le deuxième niveau, mis en place, consiste à installer des antivirus sur les postes de travail. C’est très insuffisant.
Les chiffres de l’insécurité
Disposer d’un pare-feu central est nécessaire. Il n’est toutefois pas suffisant. 80% des problèmes de sécurité sont véhiculés volontairement ou involontairement par les personnes présentes dans l’enceinte de l’entreprise : salariés, consultants, intérimaires, informaticiens. Le contrôle de l’accès physique aux bâtiments et de l’accès au réseau interne est un des facteurs clés de l’organisation de la sécurité.
Pour contrôler les accès au réseau de l’entreprise, il existe aujourd’hui des switchs de niveau 3 faisant office de VPN adossés à un serveur Radius assurant l’accès aux serveurs de l’entreprise, le plus souvent en mode Terminal Server. La vitesse à laquelle il est aujourd’hui possible de casser les clés Wep et Wpa au niveau du wifi continue d’interroger les décideurs sur la pertinence de la mise en oeuvre de cette technologie au niveau des entreprises.
L’ingénierie sociale
Quels que soient les outils déployés, les investissements techniques, les attaques se construisent par ingénierie sociale. Les assaillants vont choisir leurs cibles en fonction de leur niveau de vulnérabilité. Or, le maillon le plus vulnérable dans une entreprise reste, avant tout, l’utilisateur. Par simple coup de fil, usurpant l’identité de prestataires ou d’informaticiens, les “crackers” vont construire leur attaque très simplement en faisant faire les manipulations nécessaires à la construction d’une attaque de grande ampleur. Quand l’attaque est lancée le vendredi après-midi vers 15 h 30, cela laisse beaucoup de champ aux assaillants pour effectuer leur sale besogne. Ce type d’attaques nous pose la question de la maîtrise des flux sortants et de la nécessité d’associer les applications de la station de travail aux applications tcp/ip autorisées à sortir. C’est le seul “endroit” où nous pouvons techniquement l’organiser.
La réponse la plus adaptée aux risques que fait peser la menace d’une attaque informatique reste avant tout l’information et la formation des personnels. Elle évite la peur qui est de très loin, par son caractère paralysant, la plus mauvaise des conseillères pour aborder ce genre de problématique.