Dans les deux précédentes parties, nous avons dabord abordé le principe des protocoles de communication via les différentes couches du modèle OSI avant d'en effectuer l'analogie dans une architecture informatique avancée.
Nous savons donc, d'une façon générale, comment fonctionne un réseau, d'un point de vue physique, logique et topologique, ce qui nous permet d'aborder un sujet qui peut être plus intéressant : la sécurité d'un réseau informatique.
Il n'est pas question ici de décrire les arcanes du fonctionnement d'un virus, d'un vers ou d'une intrusion, mais plutôt, d'en expliquer les grandes lignes et de détailler les principes de protection d'un réseau ; protection qui ne se limite pas aux intrusions de méchant pas beau, mais également aux catastrophes, erreurs, mauvaise sensibilisation, etc...
Tout dabord, la sécurité d'un réseau informatique, se décompose en 3 grande catégories :
La confidentialité :- Seules les personnes autorisées peuvent avoir accès aux données.
L'intégrité :- Les voies de communication sont fiables et sécurisées.
La disponibilité :- L'accès aux données est toujours possible, où que l'on soit.
Ces trois critères sont essentiels à la sécurité d'un réseau, et plus on s'en rapproche, mieux le réseau est sécurisé.
Pour cerner les besoins de chacunes de ses parties, il est utile de connaître les dangers inhérent à une mauvaise confidentialité, une mauvaise intégrité et une mauvaise disponibilité.
Les risques d'une confidentialité mal géréeEn l'absence de confidentialité, le système est sujet aux problèmes suivant :
1°) La Veille Technologique Noire, ou, espionnage industriel/économique.
Permettre à n'importe qui d'accèder aux données de son entreprise, c'est autoriser les concurrents directs à venir fouiller les informations personnelles de sa société, les contrats, les clients, les outils, les marchés abordés, les marchés visés, le budget détaillé, les partenaires, les études réalisées.
Toutes ces informations peuvent être volées et utilisées contre l'entreprise; de façon directe : vol d'un partenaire.
ou indirecte : utilisation des études réalisées par votre société.
Dans tous les cas, c'est nuisible pour la société.
2°) Piratage Industriel et "Cyber-Terrorisme".
Destruction systèmatique de toutes vos données, très chiant pour un PDG de perdre toutes ses données clients, produit, partenaires, contrats, TOUT. il ne lui reste que ses informations papiers. Très mauvais pour la société ce type de situation. Le piratage industriel peut être effectué par une société concurrente ou par un état.
3°) Altération involontaire des données.
Un simple employé, incompétent, de l'entreprise, effectue une mauvaise manipulation et balance les données à la corbeille. C'est moins grave que de tout perdre, mais c'est chiant quand même, surtout que ce monsieur n'avait rien à faire dans ce répertoire du serveur.
4°) Propagation d'information confidentielles.
Même problème que précédemment, un employé n'ayant pas le droit d'accèder à certaines informations, y parvient tout de même, et répend des informations qui ne devraient pas l'être, chose utile à l'espionnage industriel.
Les risques d'une intégrité négligée1°) Coupure de courant
Ca peut arriver n'importe quand, n'importe où, et on ne sait jamais combien de temps cela va durer. A la maison, ça fait chier, car la pizza était bientôt cuîte. Chez Amazon.fr, c'est plus pénible, car si les serveurs sont down pendant 1h, c'est 1h où les client iront voir ailleurs, voir ne reviendront pas pour 10% d'entre eux, ce qui peut représenter une perte non négligeable. Surtout que les coupures de courant abîment le matériel ce qui peut causer leur panne.
2°) Panne d'un serveur
Même problème que précédemment, même résultat, serveur down => pas d'accès => pas d'achat.
Si un serveur ou un super ordinateur ne fonctionne pas, il y a toujours une perte de rendements, des données n'étant pas accessible les employés en ayant besoin ne peuvent pas travailler. On retrouve toujours le même problème de la diminution du rendement et de la perte significative d'argent. Sans compter l'urgence de remplacer le serveur, les données perdues, etc...
3°) Interruption du médium de communication
Le câble est coupé, débranché, fondu... Les informations ne peuvent plus circuler et inévitablement, on retrouve la situation usuelle de la perte de rendement.
Les risques d'une disponibilité inadaptée1°) Accès impossible
Monsieur le PDG est chez un gros client japonnais, gros contrat en vue, gros bénéf mais petite disponbilité : monsieur le PDG ne peut pas accèder à ses données stockées à son bureau en France ; aucune vidéo de démonstration supplémentaires, aucun document supplémentaires, aucun contrat autre que celui qu'il a prit sur lui, bref, monsieur le PDG n'a sur lui que le contenu de sa valise et rien de plus, souhaitons lui de n'avoir RIEN oublié.
Monsieur le commercial lui, vient de faire signer 15 contrats, mais il lui est impossible de les faire parvenir à sa société autrement que par la poste ou en main propre. Monsieur le commercial est à Hong-Kong, sa société est à Reine-Le-Château. Il ne rentre que dans 2 semaines et le PDG veut les contrats au plus vite, les client aussi d'ailleurs.
Monsieur le directeur technique veut fournir la toute dernière documentation technique de leur nouveau produit, à leur partenaire, malheureusement, il n'a pas accès à son serveur FTP, il devra revenir demain avec les documents imprimés.
Tout ceci, c'est de la perte de temps/rendement, et souvent, perte de crédibilité face aux clients : entre le partenaire qui de n'importe où accède à n'importe quelle documentation de sa société et le partenaire qui se fait dicter le contrat par téléphone avec une horrible latence et une qualité sonore à chier, le choix est vite fait pour monsieur le président Aï Chié Danmö Bein
2°) Surcharge du serveur
C'est dans la poche, monsieur le commercial n'a plus qu'à se connecter au serveur FTP de son entreprise pour y récuperer les contrats et les faire signer au nouveau client. Mais lors de sa connexion au serveur, c'est le drame :
Too many client, try again in a few minutes.
Pensez bien que few minutes plus tard, le problème se répète.
On a ici un overload du serveur qui n'est pas capable de gérer autant de clients à la fois. Il lui manque de la puissance, quelqu'en soit la forme (puissance de calcul, vitesse des disques dur, capacité logiciel ou matériel...)
3°) Surcharge du réseau
Le fichier est en cours de téléchargement, mais là, un nouveau drame se présente : le débit est de quelques octets par seconde, il va faloir 28minutes pour avoir le fichier complet et monsieur le client a une autre réunion dans 10 minutes....
Ici, c'est le réseau de l'entreprise qui est surchargé, trop de données sur le réseau, problème de topologie, utilisation inadaptée... Ce qui pose évidemment des problèmes de débit et de bande passante.
Mais alors quels sont les moyens actuels de gérer d'éviter du mieux possible, ces dangers ?
Soyons bien clairs sur un point, le risque zéro ne peut pas être atteint, cependant il est possible, dans la plupart des cas et à conditions d'en avoir les moyens, de disposer d'une sécurité suffisante. Une sécurité suffisante, c'est :
- Une sensibilisation adaptée au niveau des utilisateurs présent dans l'entreprise.
- Une sécurité suffisament élevée pour empêcher/dissuader les intrusions (le niveau de la sécurité est beaucoup plus élevé que l'importance des données).
- L'utilisation de matériel adapté aux risques environnant, au nombre d'utilisateur, à l'utilisation probable de la bande passante et à la charge de travail globale.
Diminuer les risques d'intrusions et les accès non autorisés1°) Les risques d'intrusions et les accès non autorisés se protégent avant toute chose, par une authentification précédent l'accès aux données sensibles. Un peu à la manière du forum ; une base de données répertorie l'ensemble des utilisateurs, leurs groupes, leur mdp cryptés etc. chaque groupe possède plus ou moins de droits, ou des droits différents, etc...
Ainsi, le groupe commercial aura accès à certains document, le groupe techniciens à d'autre, l'administrateur réseau à tout, etc... Il faut ensuite protéger ces mots de passe et leur voie de communication.
les mots de passe doivent être contenu dans une zone quasiment inaccessible : un serveur Radius spécialisé dans la gestion et la protection de mot de passe par exemple. Par ailleurs, les mots de passe ne doivent pas circuler sur des médiums accessible par d'autre personnes :
Ici, l'utilisateur B qui veut s'authentifier au serveur d'accès lui envoit son login et son mdp, le login et se mdp doivent passer par le HUB 10/100, de là, l'utilisateur malveillant peut les récupérer et s'en servir par la suite. Imaginons que le serveur qui contient des données confidentielles soit également relié à ce HUB 10/100, il sera alors possible pour l'utilisateur malveillant, de récuperer les données privées, sans même avoir de mot de passe, juste en écoutant l'activité du HUB.
Il ne faut donc pas employer de HUB, ils représentent une faille de sécurité fatale ; il est important de connaître la position des prises réseaux et la possibilité qu'à un utilisateur malveillant de s'y connecter.
Un protection "parfaite" contre ce type de problème est la suivante :
Considérons dans un premier temps que les prises sont sécurisées et que l'individu malveillant ne peut avoir accès au réseau de l'entreprise qu'en passant par Internet. Il sera en premier lieu confronté à un FireWall qui lui bloquera tout autre accès que l'accès normal HTTP pour visualiser un site web. Un Pirate chevronné peut se limiter à cet accès pour passer le firewall mais on est alors en présence d'un individu compétent qui n'agit que si les données sont vraiment importante ou pour son plaisir personnel de contourner les protections (white hat).
Il passe donc le firewall et se retrouvé connecté au Switch 5510, ce switch fonctionne main dans la main avec le SNAS 4050, tout deux suivent les règles suivantes : un ordinateur qui vient de se connecter n'a accès à RIEN, il ne peut que envoyer son mot de passe au SNAS, et rien d'autre. ce qui limite toute activité malveillante. le port du switch 5510 est éléctroniquement déconnecté du reste et ne peut trouver aucun chemin pour rejoindre le serveur de données. il n'a d'autre choix que de s'authentifier. Chose qu'il ne pourra pas faire si il n'a ni mot de passe, ni login. il restera donc bloqué et finira par être définitivement bloqué ; l'administrateur réseau étant alerté de la présence d'un individu ne pouvant s'authentifier, prendra les mesure nécessaires.
Le Partenaire A, lui, est dans les locaux de l'entreprise, il vient de se brancher à une prise réseau et souhaite accèder à Internet pour récupérer de la documentation sur le serveur FTP de sa société. En se connectant au réseau, il se retrouve immédiatement dans la même situation que l'utilisateur malveillant et n'a accès à rien d'autre qu'au SNAS 4050, il doit alors demander au personnel en charge de la sécurité réseau de l'entreprise, si il peut avoir accès à l'Internet. Le personnel lui fournit alors un mot de passe et un login (Partenaire31240,mo2passKiTuLaMoR), avec ces informations, le partenaire peut s'authentifier, le SNAS 4050 détecte alors qu'il s'agit d'un utilisateur à accès restreint et indique au 4050 de ne lui donner l'accès que vers l'Internet, ainsi, si il venait à l'esprit du partenaire A, de tenter de fouiller dans les docs privées de la société, il se verrait rapidement refoulé.
Les utilisateur A et B, eux, possédent un mot de passe et un login leur permettant d'accèder aux données privées du serveur. ils peuvent donc obtenir ce qu'ils veulent du serveur de données, car le SNAS 4050 indique au 5510 que A et B sont authentifié avec FullAccess, cependant, si l'utilisateur A venait à se faire voler son mdp, l'individu malveillant pourrait alors, lui aussi accèder aux informations. C'est pourquoi la sécurité suivante a été mise en place :
1° les informations de login de l'utilisateur A ne peuvent être utilisées que dans l'enceinte du bâtiment, si quelqu'un tente de s'en servir en passant par le firewall, le 4050 lui refusera l'accès et informera l'administrateur.
2° seul l'ordinateur de l'utilisateur A peut se connecter avec ces informations, le SNAS 4050 contient l'adresse MAC de l'utilisateur A et vérifie si l'adresse MAC de l'ordinateur tentant de se connecter est la même que celle qu'il possède en mémoire. Si ce n'est pas le cas, une fois de plus, l'accès est refusé et l'administrateur est informé.
De cette façon, l'accès aux données privées, est beaucoup difficile.
un SNAS 4050 2 ports coûte 17 000 euros,
un Switch 5510 24 ports coûte 4600 euros.
Prévenir les risques de panneUne coupure de courant, une surchauffe, une charge de travail trop importante, un câble coupé, arraché ou fondu... Autant de raisons qui peuvent causer la panne du réseau.
Dans l'architecture précédente, si le SNAS plante, plus rien ne fonctionne, si le 5510 plante, même problème. De même pour le serveur de données.
Voici une solution quasiment parfaite :
Dans cette architecture, l'ensemble des éléments clefs à la communication, sont dédoublés, si un SNAS, un 5510 et un Serveur de données, tombe en panne, le système continue de fonctionner sans causer de problèmes. Si l'un des switch DLink tombe en panne, il suffit de le remplacer, il s'agit ici de petit switch à 60euros pièce dont il est préférable d'avoir quelques exemplaires en stock, en 5 minutes le problème est résolu. Si c'est le câble du DLink vers le PC qui est abimé, il suffit de connecter le PC sur un autre câble, l'ensemble des autres câble sont dédoublé afin de permettre aux informations de toujours avoir un chemin, ce type de configuration permet également de décharger le réseau et ainsi, d'améliorer la fluidité du traffic.
Il aurait été possible de remplacer les Switch DLink par des switch WiFi, cela aurai ainsi permit d'effectuer une redondance de la connectique, même non-filaire, le remplacement de l'un des switchs en cas de panne n'aurait pas été nécessaire, mais cela imposait d'autre mesure de sécurité dûe à la sensibilité des réseaux WiFi.