Etablir une barrière de sécurité entre les données externes et internes

Table des matières

  1. 1 Deux usages
  2. 2 Trois moyens de protection supplémentaires
    1. 2.1 Définir une DMZ (Demilitarized Zone, zone démilitarisée) et la protéger.
    2. 2.2 Objectif
    3. 2.3 Architecture
    4. 2.4 Trois solutions :
    5. 2.5 Mutualisation
    6. 2.6 Tester les applications web exposées
    7. 2.7 Mise en œuvre de liaisons sécurisées

Deux usages

L’entreprise a ouvert une partie de son système d’information vers l’extérieur, via un site web ou par échanges de données informatiques.
  • Par nature et destination, un site web rend très visible l’entreprise depuis l’extérieur. Le serveur web est connecté aux systèmes internes après filtrage par le pare-feu. Les pirates disposent d’outils sophistiqués ou très simples pour tester les moyens de défense (scan) et la faiblesse de vos applications web. Plus de 75% des attaques utilisent ces faiblesses.
  • Lorsque l’échange de données parfois confidentielles avec les personnes à l’extérieur de l’entreprise (clients, partenaires, fournisseurs, employés nomades) transite sur Internet, le contenu peut, sauf précautions, être lu par des tiers non autorisés.
Ces deux usages nécessitent un surcroît de précautions, en plus des moyens de protection minimum décrits dans les fiches 3 (mettre en oeuvre des moyens appropriés à la confidentialité des données) et 6 (mettre en oeuvre des moyens de protection minimums).

Trois moyens de protection supplémentaires

La mise en oeuvre d’un site Web, parce qu’il met l’entreprise particulièrement en évidence, peut nécessiter la mise en place d’une DMZ et dans tous les cas le test des applications Web avant déploiement.

  • Définir une DMZ (Demilitarized Zone, zone démilitarisée) et la protéger.

    Ce terme vient du vocabulaire militaire pour désigner une zone tampon entre deux ennemis.
    La DMZ est un sous réseau qui se positionne entre un réseau interne de confiance et l’Internet public.

  • Objectif

    Les éléments suspects (les flux transitant vers le réseau interne et depuis le réseau interne), découverts par les équipements filtrants (firewalls, outils de détection et de filtrage de contenu), seront redirigés dans la DMZ (« quarantaine ») pour analyse.

  • Architecture

    Les serveurs installés sur la DMZ permettent de fournir des services au réseau externe, tout en protégeant le réseau interne contre des intrusions possibles sur ces serveurs :
    • Les serveurs Web (http), serveurs de fichiers (ftp), serveurs d’e-mails (SMTP) et serveurs de noms (DNS)… : services offerts par l’entreprise au monde Internet ?
    • Les serveurs relais permettant d’assurer une communication indirecte entre le réseau local et le monde Internet (proxies, relais SMTP, anti virus,…)
    Mise en oeuvre. La DMZ est généralement créée par l’emploi d’un pare-feu, composé de trois interfaces réseau (Internet, réseau interne, DMZ).

  • Trois solutions :

    • Pas de DMZ.
      Les serveurs sont placés entre le routeur et le pare-feu. Chaque serveur doit être parfaitement sécurisé ; tous les services et ports inutiles doivent être fermés ; la mise à jour des trous de sécurité détectés sur les logiciels et systèmes d’exploitation doit être très fréquente.
    • DMZ pour flux entrants uniquement.
      Pour une protection du système d’information des services, aucun flux ne doit aller d’Internet au réseau interne sans passer par la DMZ. Les serveurs sont sur la DMZ. Ils sont protégés par le pare feu et l’exploitation se révèle moins lourde. Les flux dans le sens Internet vers le réseau interne passent par la DMZ. Les flux dans le sens réseau interne vers Internet ne passent pas par la DMZ. Cette configuration est très répandue, et concilie l’investissement et un bon niveau de sécurité. En employant un relais de messagerie ou un service anti-virus de messagerie, ce dernier sur la DMZ permet au serveur de messagerie d’être dans le réseau local. Les mails des utilisateurs stockés sur le serveur sont protégés.
    • DMZ pour flux entrants et sortants.
      Les serveurs sont sur la DMZ. Ils sont protégés par le pare-feu. Des serveurs relais (mail ou anti-virus mail, Proxy FTP, HTTP, …) sont placés sur la DMZ, et permettent aux flux du réseau interne vers Internet de passer par la DMZ. Les flux dans le sens Internet vers le réseau interne passent par la DMZ. Cette configuration est très sécurisée.

  • Mutualisation

    La mise en place d’une telle solution peut être assurée par le provider Internet, qui se charge de mettre en place et de gérer sur son infrastructure le pare-feu et les services relais. Ces services sont mutualisés ce qui permet de réduire l’investissement et les contraintes d’exploitation de l’entreprise. Ce type d’offre convient pour les besoins standards d’utilisation et de protection d’Internet (proxies mail et web, filtrage anti-virus et anti-spam par exemple.

  • Tester les applications web exposées

    • Les applications Web sont des applications visibles depuis l’extérieur (elles sont conçues pour communiquer). Le site Web est une application Web. Les applications Web ne sont pas exemptes de faiblesses liées à leur conception et réalisation. Ces applications peuvent être d’autant plus dangereuses qu’elles peuvent être connectées à vos applications critiques (récupération de données venant de formulaires par exemple).
    • Les hackers disposent d’un arsenal impressionnant pour les exploiter. Les scenarii d’attaques sont même disponibles sur Internet à l’usage des apprentis hackers. Ces scripts se renouvellent sans cesse et deviennent de plus en plus sophistiqués. En exploitant les faiblesses des applications et les systèmes d’exploitation sur lesquels elles reposent, ces scripts permettent soit de rendre le site indisponible pour plusieurs heures à plusieurs jours (DOS), ou de prendre le contrôle des systèmes en s’arrogeant les droits d’administrateur (TOS).
    • Tester les applications Web est donc indispensable avant tout déploiement (y compris les mises à jour). Les sociétés spécialisées d’audit (« pentest » pour penetration testing) disposent d’outils spécifiques. Leur mise en oeuvre exhaustive peut prendre de 2 à 3 journées dépendant de la complexité et de la nature du site (site d’information avec ou sans formulaires ou site de commerce en ligne). Un test rapide ne prendrait que quelques heures pour mettre en évidence les faiblesses les plus répandues. Ces tests permettent, en outre de valider la configuration et la pertinence du pare-feu applicatif retenu.

  • Mise en œuvre de liaisons sécurisées

    L’échange de données confidentielles implique la mise en oeuvre de liaisons sécurisées, virtuelles (VPN) ou physiques (lignes louées spécialisées).
    • Réseau Privé Virtuel (VPN pour Virtual Private Network)
      • Objectif. C’est un tunnel privé de communications chiffré entre l’entreprise et les entités ou personnes dénommées avec qui elle échange des données (coût réduit mais qualité de service liée à l’accès Internet).
      • Fournir un accès distant après authentification aux nomades/ télétravailleurs. Selon les solutions, un logiciel spécifique est à déployer sur les postes nomades, ou bien le cryptage est réalisé par les couches standard Windows.
      • Interconnecter plusieurs sites entre eux, tout en offrant une ouverture sécurisée SSL) vers l’Internet.
    • Trois types de solutions.
      • Intégrée comme service du pare-feu ;
      • Systèmes autonomes placés devant le pare-feu ;
      • Systèmes autonomes placés derrière le pare-feu (solutions logicielles).
      Pour une PME, la seule solution viable consiste à mettre en oeuvre une solution avec service de chiffrement intégré. Les protocoles IPsec et SSL/TLS sont utilisés pour assurer la confidentialité et l’authentification mutuelle des échanges (voir fiche 3). Le chiffrement des données peut s’avérer difficile à concilier avec certains trafics multimédia temps réel (par exemple, Voix sur IP, visioconférence).
    • Lignes louées
      L’échange de données entre deux sites distants appartenant à la même entreprise (bureaux-usine par exemple) peut aussi être effectué en louant à un opérateur une liaison spécialisée ou dédiée. Cette solution permet de s’affranchir de toutes les incertitudes liées à l’utilisation d’Internet, mais représente un coût non négligeable de l’ordre de 2K€/ mois.
Comments