Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité papier ou réelle sécurité

Sécurité papier ou réelle sécurité
2008-06-272013-02-11lois, réglementations, standards et certificationsfr
Il n'est pas rare de lire dans la presse IT que tel ou tel cabinet spécialisé a pu, en quelques heures, mettre à mal la sécurité d'institutions de renom telles que le FBI, certaines banques... pour lesquelles la notion même de sécurité n'est pas étrangère et les certifications...
Publié le 27 Juin 2008 par Christophe Roland dans lois, réglementations, standards et certifications

Il n'est pas rare de lire dans la presse IT que tel ou tel cabinet spécialisé a pu, en quelques heures, mettre à mal la sécurité d'institutions de renom telles que le FBI, certaines banques... pour lesquelles la notion même de sécurité n'est pas étrangère et les certifications (Sarbanes-Oxley, PCI...) sont en place depuis plusieurs années. Cela veut-il dire que ces certifications n'offrent pas assez de garanties au niveau de la sécurité informatique?
Force est de constater que les gouvernements ont dû réduire le périmètre de la conformité afin que les coûts des certifications soient abordables pour les entreprises. Un des effets de bord est donc de survoler certains aspects de la sécurité dans le monde réel pour aboutir à une simple sécurité papier.

Les cabinets spécialisés dont on parlait au début préconisent donc la mise en situation réelle, autrement dit l'utilisation d'outils de tests d'intrusion automatiques et/ou manuels. Car s'il est simple de tester les équipements tels que les firewalls avec des outils automatiques, les choses se compliquent lorsque l'on parle de serveurs web par exemple.
En effet, il est possible d'attaquer une application web de multiples façons, afin de la corrompre, car les données sont traitées à de nombreux endroits. On peut attaquer le navigateur, le canal reliant le client et le serveur, le serveur et même la partie back-office où les données sont stockées. Force est de constater que les entreprises testent rarement la sécurité des données en chacun de ces points avant de déployer une application. Certains tests d'intrusion ont déjà mis en évidence la présence de l'identifiant utilisateur dans l'URL utilisée pour accéder à une application bancaire.
Un cabinet d'audit a ainsi mis en évidence que plus de 50% des applications Web qu'il a pu tester permettaient de passer d'un compte A à un compte B ou d'effectuer des actions imputables à un autre compte à cause d'une défaillance du système de contrôle d'accès. Il faut bien avoir en tête que plus de 90% des développeurs pensent plus aux fonctionnalités de leur produit qu'aux personnes pouvant les détourner et mettre à mal la sécurité du système.

L'autre bénéfice des tests d'intrusion est de sensibiliser les filières métier. Bien loin de pouvoir exhiber de manière exhaustive l'ensemble des vulnérabilités d'un système, il est souvent possible de montrer aux responsables métier un ou des scénarii pouvant mettre en péril leur activité. Il est inutile de préciser qu'il vaut mieux que cela se passe dans un contexte maîtrisé. Il a fallu plusieurs scandales publics ainsi qu'un arrêt du site Web gouvernemental associé à la publication des vulnérabilités dans le site d'inscription des électeurs pour que l'équipe IT du Commonwealth de Pennsylvanie puisse dégager des budgets afin de se doter d'outils de tests d'intrusion et renforcer la sécurité de ses pratiques de développement Web.
Alors à vos marques, prêts, testez...

1 Commentaire

  • 5 Juillet 2008
    2008-07-05
    par
    Eric Phélippeau
    Indépendamment des aspects strictement techniques liés à la sécurité des SI il faut toujours garder à l'esprit que le facteur humain est le plus difficile à cerner alors même qu'il peut impacter de manière très importante l'indicateur global de sécurité d'une organisation.

    Lorsque les niveaux de sécurité techniques sont considérés comme trop complexes à gérer de manière frontale l'assaillant va alors s'intéresser à ce facteur humain en usant par exemple de procédés d'ingénierie sociale qui donnent plutôt de bons résultats même au sein de grands groupes.

    Il faut également avoir conscience que la plupart des certifications liées à la sécurité des SI sont délivrées sans véritables contrôles. Les auditeurs se basent bien souvent sur ce qu'on leur montre sans pour autant avoir la capacité de vérifier que l'application est réelle est surtout exhaustive.
    Et quand bien même la certification reflète réellement l'atteinte des objectifs de la norme la plupart des clients finaux ne dissocient pas les garanties transverses offertes par leur prestataire de celles strictement liées à leur plateforme qui sont souvent bien moindres pour des raisons purement budgétaires et/ou organisationnelles.

    Cette déroute dans le domaine est, me semble t-il, en partie liée à la communication aujourd'hui faite sur les thèmes liés à la sécurité et aux procédés de vulgarisation si simplifiés qu'ils transforment les prestations de sécurité en simples « produits packagés » alors même que celles-ci devraient en fait être liées à des méthodes qui n'ont quant à elles pas ou peu évoluées depuis des années (seules les moyens et les technologies changent, le raisonnement quant à lui demeure).

    Pour ma part il me semble vain de chercher à atteindre un niveau de sécurité technique proche de la perfection, il serait en revanche plus judicieux de travailler plus couramment sur la mise en œuvre de mécanismes de contrôles et d'algorithmes d'analyse des comportements des systèmes pour être en mesure de détecter au plus tôt toute action suspecte. Reste ensuite à disposer des ressources humaines pour l'analyse et le traitement des remontées d'alertes.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage