11.4 Les stratégies de sécurité
réseau
Après avoir défini les objectifs et les
différents types de politiques de sécurité réseau,
nous détaillons à présent les stratégies de
sécurité à adopter pour mettre en oeuvre une telle
politique. La conception de stratégies de sécurité exige
de prendre en compte l'historique de l'entreprise, l'étendue de son
réseau, le nombre d'employés, la sous-traitance avec des tierces
parties, le nombre de serveurs, l'organisation du réseau, etc. D'une
manière générale, une bonne stratégie de
sécurité vise à définir et à mettre en
oeuvre des mécanismes de sécurité, des procédures
de surveillance des équipements de sécurité, des
procédures de réponse aux incidents de sécurité et
des contrôles et audits de sécurité. Elle veille en outre
à ce que les dirigeants de l'entreprise approuvent la politique de
sécurité de l'entreprise.
11.4.1
Méthodologie pour élaborer une politique de
sécurité réseau
Diverses méthodes permettent d'élaborer des
stratégies de sécurité. Nous décrivons ici la
méthodologie générique à savoir :
Ø Prédiction des attaques potentielles
et analyse de risque : La première étape consiste
à déterminer les menaces qui pèsent sur les biens de
l'entreprise, ainsi que les impacts de ces menaces sur l'activité de
l'entreprise si elles devaient se concrétiser. Le rapprochement entre
les ressources critiques de l'entreprise et les risques de
sécurité associés, déterminés par le
triptyque menace/vulnérabilité/conséquence, permet de
définir la stratégie sécurité de l'entreprise[8].
Afin de protéger ses biens critiques des menaces identifiées,
l'entreprise doit aussi analyser les techniques d'attaque utilisées pour
enfreindre les contrôles de sécurité ou tirer parti des
vulnérabilités. Ce deuxième niveau d'analyse permet de
définir des stratégies de sécurité proactives,
visant à diminuer les probabilités d'occurrence des menaces ;
Ø Analyse des résultats et
amélioration des stratégies de sécurité :
Les différentes simulations sont l'occasion d'améliorer
les contre-mesures de sécurité, voire de les remettre en
question. Par exemple, si l'on constate que certains types d'attaques ne sont
pas détectés par un pare-feu, les règles de filtrage
définies ou le pare-feu lui-même doivent être remis en
cause. Il faut aussi valider l'efficacité des stratégies de
sécurité mises en place face aux simulations
exécutées. Enfin, dans la mesure où la stratégie
existante n'a pas apporté de résolution satisfaisante, il est
nécessaire de la modifier ou d'en créer une nouvelle ;
Ø Règles élémentaires
d'une stratégie de sécurité réseau : Lors
de la conception d'une stratégie de sécurité, il faut
toujours garder à l'esprit quelques règles ou principes
élémentaires afin de se prémunir des erreurs possibles
dans le choix de contre-mesures. Voici quelques-uns :
· Simplicité : Plus une
stratégie est complexe, plus il est difficile de l'appliquer, de la
maintenir dans le temps ou de la faire évoluer. La simplicité et
le pragmatisme sont des critères de réussite d'une
stratégie de sécurité ;
· Le maillon le plus faible : Un
réseau est composé d'un ensemble d'équipements, ayant ou
non une fonction de sécurité implémentée. Pour
qu'une stratégie de sécurité recouvre le
périmètre de l'entreprise, il faut s'assurer que toutes les
méthodes d'accès fournissent un même niveau de
sécurité, faute de quoi le maillon le plus faible sera
privilégié pour attaquer le réseau d'entreprise ;
· Variété desprotections :
La variété des solutions mises en place pour assurer la
sécurité ne doit pas se fonder sur un seul type de logiciel de
pare-feu ou de détection d'intrusion ;
· L'implémentation en profondeur des
mécanismes desécurité : La sécurité
ne doit jamais reposer sur un seul mécanisme de sécurité.
Une imbrication de mécanismes offre une garantie de
sécurité bien supérieure, pour peu que le premier
élément de sécurité vienne à faillir[8].
L'implémentation de mécanismes de sécurité en
profondeur doit être comprise et perçue comme une assurance de
sécurité à plusieurs niveaux. Plus le système
à protéger est critique, plus le nombre de mécanismes de
sécurité doit être important.
| 
