Utilisation de contrôles de segmentation et de compensation pour la protection du réseau
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Identifier quand il convient d’utiliser la segmentation du réseau
- Décrire les situations dans lesquelles utiliser les contrôles de compensation
Utilisation de la segmentation du réseau
Réfléchissez aux mesures de sécurité en place dans une banque de quartier. Alors que le guichetier a accès à une petite somme d’argent derrière le comptoir pour les transactions mineures, les sommes plus importantes et autres objets de valeur (comme les objets de famille ou les certificats de naissance) sont généralement conservés dans un coffre-fort, à l’intérieur d’une salle des coffres verrouillée qui se trouve dans un bâtiment où patrouille un gardien et qui est sécurisé par une alarme.
Tout comme on ne stockerait pas ses objets de valeur dans une banque qui garde de grosses sommes d’argent au vu et au su de tous, il est important de sécuriser les réseaux avec plus d’une ligne de défense. La segmentation du réseau est un élément important de cette stratégie de défense multicouche.
Elle implique l’utilisation de contrôles physiques et logiques pour compartimenter le réseau afin que les actifs ayant une valeur et étant sujets à des risques similaires soient stockés et protégés ensemble. Les actifs de grande valeur qui présentent un risque élevé de compromission sont entourés de protections plus importantes et séparés des actifs de faible valeur auxquels de nombreux utilisateurs du réseau peuvent accéder.
Au cours des dernières années, la segmentation des réseaux a constitué une pratique ne cessant de se développer, et des ensembles d’outils avancés ont été développés pour faciliter sa mise en œuvre. Par le passé, les méthodes traditionnelles de sécurisation des réseaux étaient centrées sur le concept de zones fiables et non fiables. Le réseau était considéré comme une zone fiable où les utilisateurs et les actifs autorisés pouvaient accéder à la plupart des ressources, avec très peu de protections et de barrières entre les systèmes et les données.
Le principal moyen de sécuriser les réseaux consistait à sécuriser un périmètre solide, principalement grâce à l’utilisation de pare-feu. Si l’on applique ce concept à une banque, cela reviendrait à ce que celle-ci dispose d’une serrure très solide sur sa porte d’entrée et d’un agent de sécurité surveillant ce qui y entre et en sort, mais de peu d’autres protections à l’intérieur même de ses locaux.
Les pirates essaient généralement de trouver le moyen le plus simple d’accéder à un réseau, puis tentent d’y obtenir des privilèges élevés et de voler (extraire du réseau) les données les plus sensibles. Par conséquent, aujourd’hui, les organisations de sécurité sophistiquées ne se contentent plus de sécuriser le périmètre. Plus les actifs de grande valeur sont protégés (jusqu’à la sécurisation des données elles-mêmes), mieux c’est. De cette façon, même si un pirate informatique pénètre sur le réseau, la probabilité qu’il puisse compromettre les données les plus sensibles de l’entreprise est limitée. Ce concept, appelé « zéro confiance », peut être mis en œuvre à l’aide de la segmentation du réseau. La société Google a élaboré un livre blanc sur la manière dont elle met en œuvre cette approche pour protéger son environnement informatique interne. Le document explique comment d’autres organisations pourraient utiliser ce concept pour protéger leurs données au-delà du périmètre du réseau.
Quelques exemples concrets rappellent bien l’importance de la segmentation du réseau. En 2013, un géant du commerce de détail a été touché par une violation massive de données. Si les pirates ont pu accéder à autant de données sensibles, c’est notamment en raison du fait que les ingénieurs de l’entreprise n’avaient pas réussi à séparer correctement du reste du réseau les systèmes traitant les données sensibles que sont les informations de cartes de paiement.
Les pirates ont d’abord pénétré le réseau de l’entreprise en utilisant des informations d’identification volées à un fournisseur tiers, puis ont exploité cet accès pour se déplacer sans être détectés sur le réseau de l’entreprise et installer des logiciels malveillants sur les systèmes de points de vente, ce qui leur a ainsi permis de voler les informations de paiement des clients.
Cet exemple illustre l’importance de la segmentation du réseau pour rendre plus difficile l’accès non autorisé aux systèmes sensibles en compromettant un autre point d’entrée. Il souligne également l’importance de la surveillance de la sécurité des fournisseurs tiers et de l’utilisation d’une authentification forte pour accéder au réseau à distance. L’incapacité de l’entreprise à segmenter et à protéger correctement son réseau lui a coûté des millions de dollars et a eu un impact sur des millions de clients, tout en portant atteinte à sa réputation.
Utilisation de contrôles de compensation
Dans un monde parfait, les professionnels de la sécurité seraient en mesure d’implémenter toutes les protections possibles, en gardant les actifs de l’entreprise autant à l’abri que possible des personnes malintentionnées. Cependant, comme cela est très souvent le cas dans la vie, les professionnels de la sécurité sont confrontés à des contraintes et doivent faire des compromis. Il n’y a peut-être pas assez de budget pour acquérir la dernière technologie ou mettre à niveau un ancien système. Une entreprise peut ne pas disposer de suffisamment de ressources humaines pour surveiller son réseau 24 h/24 et 7 j/7. Le directeur des systèmes d’information n’a peut-être pas assez d’influence dans l’entreprise pour convaincre le directeur financier de l’importance des protections de pointe, qu’il s’agisse d’un réseau zéro confiance ou d’une authentification forte pour accéder à une application.
Lorsqu’il n’est pas possible de mettre en place la protection de sécurité idéale, les professionnels de la sécurité doivent choisir, implémenter et documenter des contrôles de compensation. Il s’agit là non seulement d’une recommandation courante, mais aussi, bien souvent, d’une exigence réglementaire.
Les ingénieurs en sécurité réseau mettent en place des contrôles de compensation lorsqu’un contrôle principal ne peut pas être implémenté, de sorte à fournir un niveau de défense similaire afin de limiter les risques. Il ne s’agit pas d’une solution permanente, et l’utilisation de contrôles de compensation doit être documentée et réexaminée régulièrement jusqu’à ce qu’une solution technologique idéale puisse être adoptée. Par exemple, un système sensible peut présenter une vulnérabilité critique. Un ingénieur en sécurité réseau peut ne pas être en mesure de corriger cette vulnérabilité car le fournisseur du système ne fournit plus de correctifs. C’est le cas par exemple des systèmes fonctionnant sur des serveurs Microsoft 2003, que Microsoft a cessé de prendre en charge en 2015. Idéalement, l’équipe de sécurité doit travailler avec l’entreprise pour mettre à niveau le serveur vers une nouvelle technologie que le fournisseur prend toujours en charge. Si cela ne peut pas être fait, l’équipe de sécurité peut mettre le système hors ligne et le segmenter dans une partie fortement protégée du réseau. Cela minimise les risques que la vulnérabilité soit exploitée à partir de l’Internet public, tout en mettant en œuvre des contrôles de compensation pour gérer le risque restant. L’équipe de sécurité doit travailler avec l’équipe commerciale afin de proposer un plan, des ressources et un calendrier pour procéder à la migration du système vers une technologie de serveur plus récente, pour laquelle le fournisseur fournit des correctifs.
Évaluation de vos connaissances
Prêt à réviser ce que vous venez d’apprendre ? L’évaluation ci-dessous n’est pas notée, elle vous permet simplement de faire le point. Pour commencer, faites glisser un mot de la banque de mots située en bas vers l’emplacement approprié dans le paragraphe. Lorsque vous avez fini de placer tous les mots, cliquez sur Soumettre pour vérifier votre travail. Si vous souhaitez recommencer, cliquez sur Réinitialiser.
Bon travail ! Vous savez maintenant comment utiliser la segmentation du réseau et les contrôles de compensation pour sécuriser les systèmes sensibles. Alors, comment un ingénieur en sécurité réseau peut-il détecter une intrusion sur le réseau lorsqu’un pirate exploite une vulnérabilité ? Passons à la section suivante pour le découvrir !
Ressources
- Site externe : Norme de sécurisation des données des cartes de paiement PCIDSS
- Site externe : Infrastructure NIST pour l’amélioration de la cybersécurité des infrastructures critiques