III.1.4.4 Le Backbone de la Banque
La Banque Centrale utilise les protocoles de routage dynamique
intra-domaine OSPF afin d'acheminer paisiblement les informations au sein de
son système et BGP pour l'échange d'informations entre les
différents sites. Il s'appuie sur la qualité et les performances
du média de communication touten employant une base de données
distribuée permettant de garder en mémoire l'état des
liaisons. En outre, elleprésente aussi quelques failles contraignantes
d'une part, par la complexité de sa configuration au cas où il
est segmenté en aires, et de l'autre, il est sensible au
phénomène de bagottement ou flapping.
Ci-dessous, nous illustrons l'architecture backbone de la
Banque Centrale du Congo.
Figure III.4 : Architecture Backbone de la BCC
[15]
III.1.4.5 Mécanismes de sécurité
Les mécanismes de sécurité
s'avèrent indispensables pour toute entreprise de manière globale
et bancaire de manière particulière, car la sauvegarde des
informations vitales, la restriction des accès malveillants aux
ressources matérielles ou logicielles et la perte des infrastructures
déployées dans une entreprise demeure une préoccupation
majeure. Au vue de ce qui précède, la Banque Centrale du Congo a
mis sur pied une politique de sécurité physique et logicielle
afin de sécuriser au maximum ses infrastructures réseaux et
maintenir ainsi, la qualité de service en son sein.
· La politique de sécurité
physique
Elle consiste essentiellement à se protéger
contre les vols, fuites d'eau, incendies, coupures d'électricité,
etc. Les règles génériques à considérer sont
les suivantes :
- Une salle contenant des équipements réseau ne
doit pas être vue de l'extérieur afin de ne pas attirer ou
susciter des idées de vol ou de vandalisme
- Des périmètres de sécurité
physique à accès restreint doivent être définis, et
équipés de caméras de surveillance
- Des procédures doivent autoriser et révoquer
l'accès aux périmètres de sécurité.
- Des équipements de protection contre le feu, l'eau,
l'humidité, les pannes de courant, le survoltage, etc., doivent
être installés.
- Des procédures de supervision des
éléments de protection doivent être mises en place.
- Les ressources critiques doivent être placées
dans le périmètre le plus sécurisé.
· La politique de sécurité
administrative et logique
Les contrôles d'accès constitués
de filtrages de paquets(pare-feu) et de relais applicatifs (proxy) est
l'un de mécanismes de sécurité appliqué à la
Banque Centrale du Congo afin d'autoriser un certain nombre de flux
réseau sortants (HTTP, FTP, SMTP, etc.) appliqués à
l'ensemble du réseau interne ou à certaines adresses. Elles
interdisent tout trafic non autorisé vers le réseau interne. Les
contrôles d'accès s'accompagnent d'une politique
définissant les règles suivantes à respecter :
§ Obligation est faite d'installer et de mettre à
jour le logiciel antivirus choisi par l'entreprise.
§ Interdiction d'utiliser tout outil permettant d'obtenir
des informations sur un autre système de l'entreprise.
§ Concernant les communications entre le réseau de
l'entreprise et un autre réseau, une politique spécifique de
contrôle d'accès précise les points suivants :
Définition des services réseau accessibles sur
Internet.
§ Définition des contrôles associés
aux flux autorisés à transiter par le périmètre de
sécurité pour vérifier, par exemple, que les flux SMTP,
HTTP et FTP ne véhiculent pas de virus. Ces contrôles peuvent
aussi concerner des solutions de filtrage d'URL pour empêcher les
employés de visiter des sites non autorisés par l'entreprise,
réprimés par la loi, ou simplement choquants (pédophiles,
pornographiques, de distribution de logiciels ou de morceaux de musique
piratés, etc.).
§ Définition des mécanismes de surveillance
qui doivent être appliqués au périmètre de
sécurité. Ces mécanismes concernent la collecte et le
stockage des traces (logs), les solutions d'analyse d'attaque, comme les sondes
d'intrusion, ou IDS (Intrusion Detection System), et les solutions d'analyse de
trafic ou de prévention d'intrusion IPS (Intrusion Preventing
System).
Les contrôles d'authentification des
utilisateurs s'effectuent à plusieurs passages, au niveau de la
sortie Internet, où chaque utilisateur doit s'authentifier pour avoir
accès à Internet, mais aussi au niveau de chaque serveur pour
accéder au réseau interne (serveurs de fichiers, serveurs
d'impression, etc.).
Chaque fois qu'un utilisateur s'authentifie, un ticket est
créé sur un système chargé de stocker les traces
(logs) afin que le parcours de l'utilisateur soit connu à tout moment de
manière précise.
Cette logique peut être généralisée
et entraîne la création d'une trace pour chaque action de
l'utilisateur sur chaque serveur (création, consultation, modification,
destruction de fichier, impression de document, URL visitée par
l'utilisateur, etc.).
Le mécanisme de Contrôle de
l'accès au réseau
Il permet de vérifier un certain nombre de points de
sécurité avant d'autoriser un système à se
connecter au réseau local. L'objectif est ainsi de contrôler les
accès au plus près de leurs sources.
Dans ce stade, le système qui désire se
connecter et le commutateur (ou le routeur) attaché au LAN doivent
intégrer la fonctionnalité NAC. Du point de vue de la
sécurité, il est toujours recommandé de choisir la
fonctionnalité NAC intégrée dans un commutateur mettant en
oeuvre les mécanismes de sécurité de VLAN (Virtual Local
Area Network), de contrôle des adresses MAC (Media Access Control), etc.,
qui sont moins permissifs que ceux d'un routeur, qui ne voit passer que des
trames IP.
Avant de se connecter au réseau, un dialogue
s'établit entre le système et le commutateur (ou routeur)
d'accès au réseau. Le commutateur (ou routeur) communique alors
avec un serveur de politiques de sécurité pour valider ou refuser
la demande d'accès du système au réseau. Et au cas
où l'un de ces contrôles n'est pas validé, le
système n'est pas autorisé à se connecter au
réseau.
| 
