Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La défense périmétrique est morte ! Vive la défense périmétrique !

La défense périmétrique est morte ! Vive la défense périmétrique !
2008-06-102013-02-11sécurité des réseauxfr
La défense périmétrique est morte ! Vive la défense périmétrique ! Si vous voulez être tendance dans les cocktails de la sécurité dites d’un air de celui qui sait « La défense périmétrique est morte et enterrée ». Argumentez à coup de :« Les firewall ne sont pas gérés et...
Publié le 10 Juin 2008 par Eric Wiatrowski dans sécurité des réseaux

La défense périmétrique est morte ! Vive la défense périmétrique !

Si vous voulez être tendance dans les cocktails de la sécurité dites d’un air de celui qui sait « La défense périmétrique est morte et enterrée ».

Argumentez à coup de :
« Les firewall ne sont pas gérés et ils ne font qu’entraver les échanges et ralentir le business»
« Les anti-virus sont débordés par tous les vers et virus qui naissent chaque jour »
« Le filtrage des malveillants à l’entrée du réseau de l’entreprise est illusoire »

Et si vous manquez d’arguments, alors lisez la prose du dernier Think Tank à la mode dans le monde de la sécurité : le Jericho Forum (http://www.opengroup.org/jericho/)

Mais alors que faire ?

Mais c’est très simple : relier les équipements de l’entreprise par des liens VPN fiables : MPLS, tunnels IP Sec ou SSL. Et considérer que ces équipements appartiennent à un réseau de confiance.

C’est un peu le monde des Bisounours.

Comment imaginer que le PC professionnel ne sera jamais connecté à l’internet et qu’il ne fera pas l’objet d’une infection. Une fois la chose faute, le virus pourra se propager sans barrière aucune à l’intérieur du VPN de l’entreprise et croitre et multiplier sur les tous systèmes vulnérables.

De la même façon, comment faire que jamais une clé USB ne soit connectée à un équipement de l’entreprise pour exporter ou importer une étude, une présentation… et une infection.

Et comment avoir réellement confiance dans les équipements d’un sous-traitant ? Comment faire interfonctionner en toute sécurité 2 réseaux de confiance : le sien et le notre ?

Autant de questions auxquelles les réponses manquent de consistance sur le site du Jericho Forum, sponsorisé par on ne sait pas très bien qui. Surement pas les éditeurs d’anti-virus.

Au passage, un VPN réseau, c’est un peu comme une enceinte protégée qui, par construction, interdit les communications avec les non-membres. Finalement, n’est-ce pas une autre façon de construire une protection périmétrique ?

Malgré tous ses inconvénients réels (failles structurelles inévitables et coûts de déploiement et de maintenance élevés) la défense périmétrique reste aujourd’hui incontournable. Quant à la mise en œuvre de VPN MPLS, IP Sec ou SSL pour sécuriser les flux, qui penserait la remettre en cause.

Mais avant de pouvoir construire des environnements de confiance, c’est-à-dire faire confiance aux PC et surtout aux utilisateurs qui se trouvent derrière, il coulera encore beaucoup d’encre sous la plume de l’auteur J

Pour en savoir plus, vous pouvez vous reporter aux écrits de Cédric Blancher (Présentation SSTIC 2008 : http://www.sstic.org/SSTIC08/programme.do#BLANCHER).

3 Commentaires

  • 16 Juillet 2008
    2008-07-16
    par
    JF, juste lyonnais
    Salut Eric !

    Je me demandais où tu étais passé ! Je te retrouve dans le cyber-espace, qui plus est hébergé chez un obscur typepad. Tu n'as pas trouvé d'offre d'hébergement sécurisé plus près ? :(

    A quand un article sur la sécurité opérationnelle des sites Orange (Business Services et autres... surtout autres en fait :) )

    Bonnes vacances, et à très bientôt !

    JF
  • 17 Juin 2008
    2008-07-16
    par
    Philippe M
    J'ai un peu peur, que l'on confonde allégrement la sécurité réseau et la sécurité des stations. La première étant plutôt d'infrastructure, et tellement inscrite dans les moeurs (enfin j'espère!), et depuis toujours gérée de façon technocentrique... La seconde intègre la composante humaine.... On peut en sensibilisant les utilisateurs (voir l'excellent article de Jean Michel Craye), et en les aidant par des substituts techniques (Host IDS, contrôle des périphériques) y arriver s'il on ne fait pas d'exceptions (VIP?).
    Il est évident depuis quelque temps que l'anti virus ne sert pas à grand chose (je pense au moins depuis le vers I LOVE YOU)puisque par nature réactif, et donc toujours en retard... L'avenir n'est pas là, mais à la proactivité d'analyse des processus, et à la virtualisation de l'explorateur (aujourd'hui la principale cible des attaques, où sont les anti virus, et les firewalls personnels???).
    La défense périmétrique est certes encore incontournable (il y aura toujours des scrpts kiddies), mais totalement illusoire, car elle ne protège pas les deux vecteurs de contamination possible (stations et applications).
  • 10 Juin 2008
    2008-07-16
    par
    Philippe
    C'est bien de citer ses sources !!! (j'ai eu peur jusqu'au bout...)

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage