La triade sécurité peut prendre différentes formes : il y a la classique triade "CIA" (Confidentiality, Integrity, Availablity) mais il existe aussi la "triade globale" rappelant les 3 composantes fondamentales d'une défense dite en profondeur (In-depth security) : Prévention, Détection et Réaction.
#1 - Prévention
La première composante de cette triade a pour objectif de prévenir l'apparition d'un risque : on retrouve ici toutes les mesures visant à:
- segmenter les réseaux (déploiement de firewalls, mise en place de zones DMZ, ...)
- durcir les systèmes (désactivation des services inutiles, application des correctifs de sécurité)
- utiliser les techniques de développement sécurisé (filtrage des données en entrée, requêtes SQL préparées, ....).
La prévention se matérialise tant via la mise en place d'équipements de sécurité, de principes d'architecture mais aussi de processus comme c'est notamment le cas pour le déploiement des correctifs de sécurité ou des campagnes de sensibilisation et de formation à la sécurité.
#2 - Détection
Cette seconde composante de la triade a pour objet de détecter un événement que la première composante (Prévention) n'aura pas été en mesure bloquer. Encore une fois, les moyens que l'on retrouve ici peuvent être technique ou organisationnel.
En ce qui concerne le volet technique, nous avons par exemple les sondes de détection d'intrusion (IDS) positionnées à des endroits stratégiques ou encore la collecte et l'analyse de logs.
Du coté organisationel, on retrouve le bon vieux coup de téléphone de la part des équipes du support technique, l'annonce dans la presse mais aussi les remontées d'infos de la part des personnes en charge de l'administration, alertées par un brusque arrêt de certains équipements (une consommation de bande passante soudainement dix fois supérieure à la normale).
#3 - Réaction
La dernière composante de la triade est une suite logique de la précédente : une fois une anomalie ou attaque détectée il s'agit d'y apporter le plus rapidement une réponse. Ici le coté organisationnel est roi mais la technique a quand même le droit de cité.
Coté organisationnel, une équipe de personnes spécialisées apportera son soutien pour comprendre, circonscrire et donc limiter l'étendue de l'attaque. Au-delà des équipes spécialisées dans la sécurité, c'est l'ensemble des processus opérationnels qui seront sollicités dont ceux liés à la communication interne et externe.
En ce qui concerne le périmètre technique, une base de signatures pourra être déployée rapidement sur les antivirus ou un port sera temporairement bloqué au niveau d'un firewall, etc...
Autres types de défense en profondeur
Nombre d'entre-vous auront très surement déjà mis en place, ou tout du moins déjà entendu parler d'une "stratégie de défense en profondeur". La plupart du temps il s'agit d'une défense basée sur la mise en place de mesures techniques venant se renforcer les unes les autres, un peu comme des briques venant s'empiler (aka. deux ou trois couches de firewalls de marques différentes).
Dans tous les cas, ces deux approches de "défense en profondeur", qu'elles soient basées sur une vision globale (Prévention, Détection et Réaction) ou "classique" (via empilement de technologies) restent valides et doivent être appliquées car elles sont complémentaires.
De la théorie à la pratique
De ce que je peux voir, l'empilement de technologies est l'approche classique, celle basée sur la triade globale (Prévention, Détection et Réaction) est très souvent limitée à une mise en place de la première composante et très peu des deux dernières.
Quel est votre retour d'expérience ? Merci de vos retours/commentaires !