On retrouve actuellement trop souvent des architectures de sécurité axées uniquement sur la prévention et la défense de périmètre. Il y a bien d'autres éléments qui doivent composer une architecture de sécurité. Toute architecture de sécurité (et plus globalement l'approche même de la sécurité) doit selon moi reposer sur un triptyque tel que :
Ces trois aspects sont pour le moment très diversement couverts par le marché malgré une nécessité indéniable.
La prévention est fondamentale et est généralement bien appréhendée par le plus grand nombre. Le principe : faire tout ce qu'il faut pour se protéger. Elle consiste le plus souvent à adopter la démarche suivante :
Le marché à ce jour couvre très bien cette approche : les cabinets de conseils sont très présents sur l'analyse des risques. Les Intégrateurs proposent et mettent place des solutions à tour de bras. Des sociétés se spécialisent dans la réalisation d'audits de sécurité, d'autres effectuent de la veille technologique en sécurité et permettent de déclencher les mises à jour (généralement effectuées par l'intégrateur).
Le principe est d'être capable de détecter lorsque les mesures de prévention sont prises en défaut. La détection, même si certains outils techniques existent, est encore trop rarement intégrée aux infrastructures. Il est vrai que les intégrateurs proposent souvent ces outils lors de la mise en place d'infrastructures de connexion Internet ; mais leur déploiement reste marginal en dehors de ces projets spécifiques. De plus, à l'heure actuelle un cruel défaut de compétence est à déplorer. Il y à encore trop peu de personnes formées à ce type d'outils. La détection exige un suivi permanent de l'état des système à protéger et des mécanismes de diffusion des alertes générées.
S'il est important de savoir qu'une attaque est en cours ou qu'une attaque a réussi il est encore plus important de se donner les moyens de réagir à cet état de fait. C'est l'aspect le plus négligé actuellement même au sein des acteurs majeurs de la sécurité Informatique. Pourtant, il n'est pas possible d'oublier les credo de tous les consultants en analyse de risque : " le risque zéro n'existe pas " ou encore " il n'y a pas de sécurité absolue ". Il faudrait donc toujours prévoir et se préparer au pire. Cela implique la mise en œuvre de procédures d'exploitation spécifiques à la réaction en cas d'attaque, la rédaction et le test d'un plan de continuité Informatique à utiliser en cas de sinistre grave. Il est également primordial de se doter des outils permettant d'une part de collecter toutes les informations pouvant être nécessaires en cas de recours juridique. Un cadre doit aussi être prévu au niveau des responsabilités ; de ce fait les contrats d'assurance devront prendre en compte le risque représenté par les pirates. Le marché couvre très mal cet aspect à l'heure actuelle. Il n'existe que très peu de sociétés proposant une offre réelle en investigation d'incidents. Par ailleurs, même si certains cabinets de juristes se spécialisent dans le droit de l'Internet, la couverture du risque Informatique et la définition des " éléments de preuve " dans les affaires de crimes informatiques restent encore floues.
La prise en compte des problématiques de sécurité est en cours en France actuellement dans une vaste majorité d'entreprises mais pour l'heure les moyens mis en œuvre ne sont pas toujours suffisants. Afin de supporter les entreprises dans leur processus de sécurisation, le marché, en forte croissance, s'est d'abord structuré dans le domaine de la Prévention. Néanmoins, de très nombreuses questions restent encore sans réponse dès lors qu'il s'agit de Détection et de Réaction. Ces deux domaines qui touchent à l'exploitation au quotidien (ou encore opération) des infrastructures de sécurité sont encore pleins de promesses mais aussi sources d'inquiétude pour les différents acteurs de la sécurité informatique.
Luc DELPHA
mise à jour le 08/12/2000