B - La défense
La défense passe d'abord par une surveillance du
système d'information, de manière à détecter le
plus rapidement possible une intrusion (1°/), qui se heurtera à des
moyens techniques de protection (2°/). Mais il faut tout de même
prévoir une issue de secours, en cas de problème important
(3°/).
1° / La surveillance du réseau
Toute l'activité d'un réseau peut être
surveillée à chaque instant grâce à des solutions
matérielles ou logicielles spécialisées. Le flot de
données généré par ces outils est bien sur
très important, mais il est possible de filtrer celles-ci de
manière à obtenir les informations qui pourraient
révéler une pénétration du système. De
même, ces données peuvent être enregistrées pour
être ensuite analysées sur la durée. On peut, par exemple,
enregistrer toute l'activité d'un employé d'IBM pendant une
période définie.
Un tel outil est bien sur, très intéressant dans
une optique de défense contre une attaque informatique, car il permet
d'une part de détecter une intrusion extérieure, mais il permet
aussi d'observer des employés susceptibles de perpétuer une telle
attaque de l'intérieur.
Mais ces procédés se heurtent en France à
la protection de la vie privée, et plus spécialement à la
loi informatique et liberté. C'est ainsi que la CNIL (Commission
Nationale Informatique et Liberté) est déjà intervenue.
Par contre aux Etats Unis ou en Angleterre, ces méthodes sont tout
à fait légales.
Mais, ce n'est pas tout de surveiller son réseau, il
faut aussi prévoir des moyens interdisant toute intrusion
extérieure.
2°/ La défense statique
La défense du réseau contre les attaques
extérieures est assurée tout d'abord par son architecture.
Celle-ci vise à limiter les points d'interconnexion entre le
réseau interne et internet. A ces points sont placés des gardes
barrières (aussi appelés firewalls) dont la fonction est de
filtrer les données reçues ou envoyées.
Un firewall peut être aussi bien un logiciel
installé sur un routeur qu'un matériel spécifique.
Il peut prendre place sur une machine dite
« système bastion » qui assure des fonctions de
passerelle applicative (proxy), d'authentification des flux entrants, ainsi que
d'audit, traçage ou logging des flux. Un firewall peut aussi être
intégré à un routeur, qui assure ainsi des fonctions de
filtrage.
Un niveau de sécurité supplémentaire peut
être assuré en ayant recours à des techniques de
cryptographies. En effet, le cryptage des documents et messages confidentiels
peut rendre la tache encore plus difficile à un voleur d'informations.
Diverses techniques de cryptages existent parmi lesquelles il faut distinguer
les cryptages symétriques et asymétriques, ces derniers offrant
une sécurité accrue, puisque la clé de décodage
n'est jamais transmise (système clé publique / clé
privée). Le cryptographie à néanmoins un régime
juridique particulier, puisque à ce jour, seul les logiciels à
clé de 128 bits ou moins sont autorisés.
3°/ Le plan de continuation de l'activité
Une attaque couronnée de succès, ou tout
simplement un erreur humaine peut entraîner une paralysie ou une
altération du système d'information. C'est pourquoi I.B.M., comme
85% des grandes entreprises (source : Gartner group) dispose d'un plan de
continuation de l'activité.
Concrètement, ce plan est représenté par
un ensemble de procédures d'urgences ainsi que par un enregistrement des
données du serveur sur un site miroir, ce qui permet en cas de
problème à un instant t, de récupérer les
données de l'instant t-1. Ce site est de plus situé à un
endroit tenu secret. En cas d'alerte, certains employés doivent s'y
rendre de manière à pouvoir assurer la continuité de
l'entreprise.
Toutes ces procédures et techniques misent en oeuvre
doivent bien sur être contrôlée et testée.
| 
