Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Retour aux fondamentaux : la triade sécurité

Retour aux fondamentaux : la triade sécurité
2011-10-182013-04-10sécurité organisationnelle et humainefr
Une stratégie de défense en profondeur peut prendre différentes formes. Au dela d'une approche purement technique, la triade sécurité "Prévention", "Détection" et "Réaction" propose une approche plus globale et dépassant le strict périmètre...
Publié le 18 Octobre 2011 par Jean-François Audenard dans sécurité organisationnelle et humaine

Voir cette vidéo sur YouTube

La triade sécurité peut prendre différentes formes : il y a la classique triade "CIA" (Confidentiality, Integrity, Availablity) mais il existe aussi la "triade globale" rappelant les 3 composantes fondamentales d'une défense dite en profondeur (In-depth security) : Prévention, Détection et Réaction.

#1 - prévention

La première composante de cette triade a pour objectif de prévenir l'apparition d'un risque : on retrouve ici toutes les mesures visant à:

  • segmenter les réseaux (déploiement de firewalls, mise en place de zones DMZ, ...)
  • durcir les systèmes (désactivation des services inutiles, application des correctifs de sécurité)
  • utiliser les techniques de développement sécurisé (filtrage des données en entrée, requêtes SQL préparées, ....).

La prévention se matérialise tant via la mise en place d'équipements de sécurité, de principes d'architecture mais aussi de processus comme c'est notamment le cas pour le déploiement des correctifs de sécurité ou des campagnes de sensibilisation et de formation à la sécurité.

#2 - détection

Cette seconde composante de la triade a pour objet de détecter un événement que la première composante (Prévention) n'aura pas été en mesure bloquer. Encore une fois, les moyens que l'on retrouve ici peuvent être technique ou organisationnel.

En ce qui concerne le volet technique, nous avons par exemple les sondes de détection d'intrusion (IDS) positionnées à des endroits stratégiques ou encore la collecte et l'analyse de logs. 

Du coté organisationel, on retrouve le bon vieux coup de téléphone de la part des équipes du support technique, l'annonce dans la presse mais aussi les remontées d'infos de la part des personnes en charge de l'administration, alertées par un brusque arrêt de certains équipements (une consommation de bande passante soudainement dix fois supérieure à la normale).

#3 - réaction

La dernière composante de la triade est une suite logique de la précédente : une fois une anomalie ou attaque détectée il s'agit d'y apporter le plus rapidement une réponse. Ici le coté organisationnel est roi mais la technique a quand même le droit de cité.

Coté organisationnel, une équipe de personnes spécialisées apportera son soutien pour comprendre, circonscrire et donc limiter l'étendue de l'attaque. Au-delà des équipes spécialisées dans la sécurité, c'est l'ensemble des processus opérationnels qui seront sollicités dont ceux liés à la communication interne et externe.

En ce qui concerne le périmètre technique, une base de signatures pourra être déployée rapidement sur les antivirus ou un port sera temporairement bloqué au niveau d'un firewall, etc...

autres types de défense en profondeur

Nombre d'entre-vous auront très surement déjà mis en place, ou tout du moins déjà entendu parler d'une "stratégie de défense en profondeur". La plupart du temps il s'agit d'une défense basée sur la mise en place de mesures techniques venant se renforcer les unes les autres, un peu comme des briques venant s'empiler (aka. deux ou trois couches de firewalls de marques différentes).

Dans tous les cas, ces deux approches de "défense en profondeur", qu'elles soient basées sur une vision globale (Prévention, Détection et Réaction) ou "classique" (via empilement de technologies) restent valides et doivent être appliquées car elles sont complémentaires.

de la théorie à la pratique

De ce que je peux voir, l'empilement de technologies est l'approche classique, celle basée sur la triade globale (Prévention, Détection et Réaction) est très souvent limitée à une mise en place de la première composante et très peu des deux dernières.

Quel est votre retour d'expérience ? Merci de vos retours/commentaires !

3 Commentaires

  • 20 Octobre 2011
    2011-10-20
    par
    Daniel
    Oui, un même équipement appartient à plusieurs catégories. Tu citais  dès le départ les firewalls présent à la fois dans le domaine du durcissement, et de la réaction (rarement automatisée).
    Cela dit, par rapport au malentendu possible sur le mot "prevention" (anglais/français), on distingue habituellement les IDS (passifs) des IPS (actifs). Certains constructeurs parlent même d'AMS (Attack Mitigation System). Ce type d'arme ouvre de nouvelles possibilités de contre-attaque : mieux que de simplement poubelliser le trafic malicieux, il est possible de perturber les sources, et de faire planter à distance les clients LOIC, par exemple. Là on est vraiment dans la "réaction" !
    P.S : la captcha est capricieuse ici ? Parfois elle ne s'affiche pas, ce qui rend le post du commentaire impossible.
  • 20 Octobre 2011
    2011-10-20
    par
    Bonjour Daniel. Merci pour ton commentaire. Un IPS bloquant les attaques dont il a connaissance permet de prévenir une attaque. Je le conserverai dans la catégorie #1 car il doit être avoir été mis en place en amont pour être efficace. C'est peut-être selon cette approche qu'il faut comprendre ces 3 catégories/composantes.
    Dans une approche plus technique, oui on pourrait un IPS dans la catégorie #3 comme tu le proposes. Si je pousse ton raisonnement dans ce cas, il faudrait mettre aussi les firewalls car ils "bloquent" donc ils "réagissent"... bof...
    En fait, je pense qu'il n'y a pas de bonne ou de mauvaise réponse... En fait un même équipement (ou mesure) peut appartenir à plusieurs catégories en même temps. 
  • 20 Octobre 2011
    2011-10-20
    par
    Daniel
    D'accord avec Jean-François sur le fond, mais je me permets de chipoter sur le risque de confusion qui existe sur le terme "prévention". Celui-ci a un sens légèrement différent en anglais. En effet, un "Intrusion Prevention System (IPS)" est bien un système actif. On est donc plutôt dans le domaine de la réaction (#3), avec des algorithmes basés sur des signatures statiques, ou bien des heuristiques plus complexes, parfois dynamiques, ou "temps réel".
    Un titre plus adapté pour la composante #1 serait donc plutôt "durcissement" ? Durcissement des réseaux / systèmes / applications, durcissement des procédures et des comportements.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage