Les principales menaces informatiques pour les PME

Suite à un article de WatchGuard, voici les 10 principales menaces informatiques recensées par cette société d'appliances de sécurité. Je vais essayer dans ce petit billet d'exposer mon point de vue et les premières contre-mesures possibles.

1. Les vulnérabilités non patchées : c'est effectivement important de garder son parc informatique à jour, essentiellement sur les parties les plus proches du système (le mieux est d'utiliser un gestionnaire de déploiement de paquets). Ces parties qui possèdent la particularité de pouvoir accéder facilement en entrailles du S.I. Et je dirai même plus, les navigateurs doivent être dans leur dernière version, et un conseil supplémentaire : utilisez Firefox qui se met à jour automatiquement à chaque vulnérabilité connue...


2. Les emails HTML malicieux : Pourquoi ne pas vous proposer de consulter vos mails en mode texte ? Plus sérieusement, un bon antivirus en entrée qui désarme toute exécution de code malicieux est plus que recommandé. Mais parfois ce n'est pas suffisant et la vigilance de l'utilisateur est toujours primordiale.


3. Navigation internet imprudente : Encore l'utilisateur, quand il s'y met il devient le vecteur le plus dangereux qu'il soit pour votre S.I. Un proxy filtrant peut être une bonne première mesure, certains firewalls sont capables de désarmer tout code malveillant dans les pages HTML (JavaScript, Applet Java, Flash -> pour le clickjacking à la mode, etc.)


4. Les serveurs Web vulnérables : Cela rejoint le point 1 et plus particulièrement la mise en place d'applications Web non sécurisées sur ceux-ci. Un firewall applicatif de type mod-security est une première réponse, mais la vraie, l'ultime réponse, est d'apprendre à développer de manière sécurisée, puis de faire appel à des tiers pour des audits de sécurité validant vos développements


5. La perte des appareils mobiles : Le vol de portables (et de téléphones portables) est à la mode. L'oubli dans un aéroport est aussi très fréquent. Des mécanismes de chiffrement pour masquer les informations confidentielles sont plus que recommandés.


6. Utilisation imprudente de réseaux public : Aujourd'hui ça peut être vrai, mais quand la politique de sécurité inclut un bon firewall personnel, un bon antivirus il n'y a pas de raison que cela se produise... Les réseaux Wi-Fi sont de plus en plus sécurisés, la menace peut venir des autres personnes qui accèdent de manière concurrente au point d'accès.


7. Domicile non sécurisé : cela rejoint le point 6. Les postes sont nomades, il faut se mettre ça dans l'esprit et l'utilisation à la maison est un risque supplémentaire. Les clés USB personnelles peuvent aussi rentrer en compte dans ce point 7. Il faut pour cela aussi faire des scans antivirus complets fréquents lorsque l'utilisateur est dans l'entreprise pour éviter une propagation, ou effectuer une détection assez rapide...


8. La configuration d'usine laissée par défaut : Les mots de passe restent parfois les mêmes qu'au début. Il faut savoir que maintenant il existe des constructeurs qui affectent un mot de passe plus compliqué mais il faut toujours suivre une bonne politique de mot de passe (peut-être l'occasion d'un nouveau billet).


9. L'absence de plan de continuité : Même si cette partie n'est pas forcément obligatoire, et n'intervient qu'en cas d'urgence il est nécessaire de se poser les bonnes questions pour éviter le grand désastre, et la perte de l'entreprise. Dans cette partie, les assurances rentre en compte (possibilité de nouveaux locaux, d'achat de nouveau matériel), les sauvegardes (comment remettre en place le S.I. rapidement), etc. Cela peut paraitre parfois dérisoire mais ces plans ont sauvé plus d'une fois les entreprises d'une perte certaine...


10. La politique de contrôle et de répartition des responsabilités. Il ne faut pas tout confier à une seule personne, des pertes sur le S.I. peuvent arriver sans que personne ne s'en rende compte avec les contrôles inadéquats. Il est important de répartir les responsabilités et d'effectuer des contrôles inter-services par exemple, ou encore mieux d'avoir des procédures qualité à mettre en place...
    

Compte rendu de l'OSSIRB du 07/10/08 sur la "représentation graphique" en sécurité

Cette présentation était vraiment intéressante et très pragmatique. La visualisation d'évènements sécurité sous forme de schémas ou de graphiques est vraiment un plus d'un point de vue décideur. Mais d'un point de vue humain, l'appréhension de problèmes de sécurité peut être simplifiée par des représentations graphiques, permettant une meilleure analyse d'une grande quantité de données (fichiers de logs pouvant peser plusieurs giga). Cette session de l'OSSIRB fut découpée en 2 parties :

Partie 1 : Représentation graphique d'évènements de sécurité

Cette première partie présente un petit outil "DPViz" permettant grâce à l'analyse de fichiers de log, de représenter de manière assez simple certains flux réseaux. Les flux étant représentés graphiquement par des sources, des destinations et des nœuds servant à la fois de source et de destination ("rebonds"). Grâce à cette représentation graphique il est facile de mettre en évidence des évènements remarquables comme des DDoS, des propagations de vers, des flux illégitimes, etc. Ainsi, un DDoS est représenté comme plusieurs sources et une seule destination sous forme d'étoile, les machines vulnérables sont le plus souvent modélisées comme "rebond" avec une seule source et plusieurs destinations (comme la méthode de propagation d'un vers). Bien sûr sans exemple graphique il m'est impossible d'étayer ce que je raconte, mais c'est bien entendu sur le site de l'OSSIRB qu'il faudra se rendre pour jeter un coup d'œil aux slides de la présentation.

Partie 2 : Apport de la visualisation dans la détection d'intrusion

Ici, une approche un peu moins pragmatique mais tout aussi efficace. La présentation nous montre des exemples de visualisation reposant sur la technique des coordonnées parallèles. Finalement cette approche un peu obscure au début se révèle fort efficace si les données en entrées sont correctement filtrées (c'est aussi le cas d'ailleurs pour les représentions graphiques vues en Partie 1). Il est possible alors d'obtenir assez facilement sur un système d'information une petite analyse comportementale, le schéma étant suffisamment parlant pour afficher le trafic important et souvent légitime, ainsi que le trafic qui peut paraitre à première vue un peu plus suspect. Je n'ai malheureusement aucun exemple sous la main, il faudra aller voir encore le site de l'OSSIRB. On voit rapidement le rapport de cette technique avec la détection d'intrusion (en particulier un Méta-IDS corrélant les logs de plusieurs sources). Cette corrélation difficile à analyser devient plus facile avec cette méthode de représentation. Cela permet aussi dans l'immédiat de customiser les règles de l'IDS et de développer les règles adéquates en fonction du contexte d'utilisation. L'outil en question est disponible sous licence GPL et se trouve ici, il s'appelle PicViz.