B. RÉACTION AUX ATTAQUES
La difficulté de distinguer un individu ou même un système illégitime d'un système légitime a suggéré une fonction de détection d'anomalie qui tend à considérer comme hostile toute activité ou flux se déroulant de l'autre côté d'une frontière appelée ligne de défense . Cette même stratégie s'étant par ailleurs étendue aux activités internes.
1. L'analyse des flux
Le principe général consiste à soustraire tout bien exposé à la connaissance des attaquants. La zone de communication est le siège d'une multitude de filtres également appelés bastions. Leur rôle est d'affecter un laissez-passer à chaque flux légitime dont on sait identifier la source, la destination et le mode opératoire : ce sont les flux maîtrisés . Plusieurs mécanismes de filtrage de flux vont s'appliquer qui peuvent s'enchaîner et se compléter :
- le filtrage au moyen du pare-feu ;
- le filtrage des systèmes de détection d'intrusion ( IDS ) ;
- les antivirus.
Schéma n°
90
:
Principe du filtrage de flux pour bloquer
ou détecter les
anomalies
Source : OPECST
a) Filtrage au moyen du pare-feu
Ce type de filtrage concrétise les règles définies par les politiques de sécurité sous forme de : « ce que l'on peut faire et ce que l'on ne doit pas faire ». Une violation de ces règles provoque des alertes et entraîne un blocage du flux . On dit que la sécurité est active .
b) Filtrage (IDS)
La détection d'intrusion, grâce au système de détection d'intrusion, est une sécurité passive , dont l'objectif est d'informer l'analyste.
Le principe repose sur deux méthodes d'analyse différentes : analyse sur signature et analyse sur comportement . L'analyse fondée sur les signatures va tenter de déceler des intrusions en recherchant des codes, textes, patterns préalablement appris. L'analyse d'après le comportement permet d'élaborer des profils de références de comportements - utilisateurs ou système. Ces profils de références sont étalonnés via des indicateurs qui permettent d'en mesurer les déviances . Cette méthode d'analyse, complémentaire de la première, offre la possibilité de déceler des attaques encore inconnues .
|
« L'État va donner un label à des prestataires de confiance chargés de détecter les vulnérabilités, les manquements des opérateurs critiques au coeur de leurs systèmes. Ils seront en relation avec l'État. Il y aura des prestataires de détection qualifiés par l'État, qui seront en contact avec l'ANSSI pour échanger sur les nouvelles menaces, les nouvelles signatures techniques de comportement d'attaquant . Ce sont ces critères techniques que l'on peut introduire dans les sondes automatiques pour détecter que quelque chose d'anormal est en train de se passer et que nous sommes a priori victimes d'une attaque. Ces signatures sont désormais le bien le plus cher des agences de sécurité . » M. Pascal Chauve
Conseiller du Secrétaire
général de la défense et de la sécurité
nationale (SGDSN)
|
2. Le contrôle comme point fondamental, vers un contrôle multi-échelle
La question du déploiement d'un outil non contrôlé devient alors une question essentielle. Comment peut-on demander à chacun d'être responsable de sa sécurité si aucun contrôle n'est possible ? L'analogie avec l'automobile paraît appropriée : comment contrôler et répondre à des obligations légales et sécuritaires sans compteur de vitesse, tableau de bord, etc ?
C'est au travers des trois propriétés de la disponibilité, l'intégrité et la confidentialité que la sûreté de fonctionnement des systèmes est évaluée. Néanmoins d'autres propriétés de sécurité sont indispensables, par exemple l'« accountability » déjà mentionnée. Mais on instrumente très peu les systèmes numériques dès leur conception au sein de leur écosystème . Pourquoi ne pas mettre en place une normalisation imposant à tout système conçu des moyens de contrôle des trois propriétés de sécurité ?