Dans les PME et TPE la logique de la sécurité tourne autour de l’antivirus et du pare-feu (firewall). De cette logique est né un sentiment de confort au sein du réseau interne de l’entreprise ont est a l’abri. C’était relativement vrai en 2010, mais maintenant en 2016, il faut repenser la sécurité.
Un de mes amis experts en sécurité disait toujours, pour qu’un ordinateur soit complètement sécurisé, il faut que la prise soit débranchée ; après il faut faire au mieux des technologies existantes.
Le pare-feu n’est pas une vraie sécurité
Petit rappel, le pare-feu a pour objectif de bloquer depuis l’extérieur l’accès à votre réseau. Et le même pare-feu va aussi pouvoir vous autoriser depuis l’intérieur à accéder à internet. Pour pouvoir vous autorisé l’accès, il va pendant la durée de votre connexion à internet (vite de site web, boutique en ligne, forum, réseau social, etc.) ouvrir un tuyau pour vous uniquement et le serveur internet avec qui vous communiqué. Si le serveur en question vous envoie des virus ou autres, le pare-feu n’arrête plus rien, car le tuyau est ouvert de l’intérieur vers internet.
Le pare-feu c’est l’élément indispensable à la sécurité périmétrique. Tout ce qui se trouve derrière le pare-feu est sécurisé. Mais cette affirmation est fausse, elle l’était déjà en 2006 lors que j’ai participé à une démonstration d’attaque via un navigateur, elle l’est encore fausse plus aujourd’hui.
Si l’on prend par exemple le dernier rapport de Kaspersky 62 % des attaques sont réalisées à l’aide du navigateur internet. Un simple pare-feu est complètement inefficace dans ce cas de figure. Donc par conséquent tous les pare-feu que vous pouvez avoir dans les Box de connexion internet sont complètement transparents à des attaques via le navigateur.
La solution ce sont les pare-feu avec IDS. Ce pare-feu va ouvrir un tuyau en l’intérieur et internet, mais ils vont en plus analyser le contenu qui circule pour intercepter des virus qui vous seraient transmis directement.
La solution des pare-feu IDS repose sur 2 éléments principaux :
- Une base de signature de virus (comme pour les antivirus)
- Le transfert du contenu en clair (pas de HTTPS)
Les bases de signatures
Le problème avec les bases de signatures c’est quelle repose elles aussi sur 2 piliers : la connaissance du virus, la vitesse des équipes de développement pour identifier la signature de celui-ci.
Les pare-feu IDS ne sont pas des machines ayant beaucoup de mémoire pour stocker les signatures, aussi les éditeurs font des choix sur la fréquence d’apparition des virus pour mettre les plus courants dans la base de signature. Votre pare-feu bénéficie d’une base de signature qui représente souvent 15 % de la base de signature des antivirus.
Mais le principal problème, c’est que les équipes de développement des signatures doivent avoir connaissance du virus avant de pouvoir vous protéger. Des nouvelles technologies (début 2005) sur l’analyse comportementale permettent au pare-feu d’avoir une meilleure autonomie, mais ces technologies sont plus ou moins efficaces et relativement anciennes (en temps informatique).
Le contenu en clair
Pour qu’un pare-feu IDS soit efficace il faut que le contenu qu’il analyse soit en clair et donc non crypté. La tendance est aujourd’hui au HTTPS (cryptage du contenu entre le serveur internet et le navigateur) afin de garantir la sécurité et la confidentialité des informations qui transitent. Fais un test si vous allez simplement sur Google, en regardant bien, vous verrez que le contenu est crypté via le HTTPS (pas ce site web pour l’instant).
L’objectif du HTTPS c’est la sécurité et la confidentialité, aussi le contenu est crypté entre le serveur et votre navigateur. Le pare-feu IDS ne peut plus analyser le contenu et ainsi un virus connu du pare-feu IDS peut facilement transiter sans risque d’être découvert.
La technologie du HTTPS est une très bonne méthode de sécurisation des transferts entre le serveur et le navigateur, sauf pour les pare-feu IDS.
Les pare-feu IDS sont souvent des abonnements annuels ou mensuels que vous devez imputer à votre budget informatique. La question se pose en 2016 faut il encore payer pour son abonnement pare-feu IDS.
Les pare-feu avec Anti-Spam
Comme pour les abonnements IDS, beaucoup de pare-feu proposent aussi un abonnement antispam. Sur le même principe que le fonctionnement de l’IDS, à chaque fois qu’un message transite le pare-feu analyse le mail pour déterminer s’il s’agit d’un Spam ou non.
Comme pour l’IDS, l’antispam se base sur une liste de signatures de mail, et comme pour l’IDS la mémoire du pare-feu est limitée aussi seule les spams les plus courants sont bien filtrés, les autres ils passent souvent. Mais cette technologie était très bien jusqu’au début des années 2012.
Depuis 2012 la grande tendance, pour plus de sécurité, est de faire transiter les mails via des protocoles chiffrés comme le TLS ou SSL. Ainsi quant vous mails transitent sur le pare-feu ils sont eux aussi cryptés. Et la base de signature ne peut plus faire son travail sur des mails cryptés, donc plus de spams.
Cette technologie est toujours utile si vous avez un serveur de messagerie qui reçoit directement les mails depuis l’extérieur. Les mails transitent (pour l’instant) en clair sur internet sauf si vous avez mis en place une solution de cryptage des mails. J’ai toujours été contre cette méthode car elle comporte de nombreux risques pour l’infrastructure de l’entreprise, mais je sais que c’est très courant dans les PME.
Le pare-feu et le filtrage de contenu
Si vous n’avez pas mis en place une solution de filtrage de contenu, vous devriez sérieusement étudier cette technologie. Grâce au filtrage de contenu vous pouvez contrôler efficacement les usages d’internet au sein de votre entreprise.
Le filtrage de contenu est lui aussi mis à mal avec les technologies HTTPS. Mais les éditeurs travaillent maintenant avec des nouvelles technologies de résonnance des sites web sur la base d’URL (exemple URL : http://www.t2iconseil.fr).
Le pare-feu et les logs
Afin de vous mettre en conformité avec la loi, vous devez conserver les logs de connexion internet pendant une durée minimale de 3 mois. Si vous ne le faites pas, vous le dirigeant vous pouvez subir une amende de 300 000 € et 5 ans d’emprisonnement.
Les logs sont les traces de tous les accès internet faits par chaque poste de l’entreprise. Ces informations peuvent être stockées sur le pare-feu ou sur des serveurs syslog. Ces logs peuvent vous être demandés en cas de fraude. Les logs pourront aussi vous alerter sur une utilisation anormale de votre accès internet.
Ainsi cette entreprise qui a mis en place les logs suite à la réception d’un courrier HADOPI, a découvert que c’est la nuit entre 20h et 23h que l’accès à des sites illégaux était réalisé. Un voisin avait découvert la clé WiFi et se connectait en dehors des heures de bureau.
Faut-il un pare-feu
Oui, sans aucun doute, c’est obligatoire. Mais il faut prendre un pare-feu pour ce qu’il sait faire :
- Bloquer les attaques directes de l’extérieur
- Filtrer l’accès internet
- Fournir des traces des accès internet
Crédit photo : Pixabay
[…] Comment repenser la sécurité en 2016 #1 […]