jeudi 28 janvier 2010

Guerre informatique, sécurité, Infrastructures vitales..

McAfee, célèbre éditeur anti-virus, a récemment publié un rapport, conjointement rédigé avec le CSIS (à qui l'on doit le rapport adressé au Président OBAMA sur l'importance d'une "cyber-sécurité" pour la 44ème présidence)..

Ce rapport porte sur la vulnérabilité des infrastructures sensibles et vitales alors que de très nombreuses "cyber-attaques" se produisent quotidiennement.

Afin de mesurer la criticité des niveaux de sécurité de ces infrastructures, le rapport remarque que beaucoup a été fait en matière de disponibilité (sic..) mais peu en matière de sécurité, ou alors à des niveaux très physique (gardiennage..).

J'avoue humblement avoir sauté au plafond à la lecture de ces quelques lignes...Pourquoi me direz-vous :

=> Tout d'abord, tous les spécialistes en SSI vous diront que la sécurité est un ensemble de critères : DIC ou CIA en anglais. Comprenez "Disponibilité", "Intégrité" et "Confidentialité.

Lesdits critères sont analysés en tant que besoins, vis-à-vis d'une infrastructure donnée, et en fonction des risques encourus. Mais opposer la sécurité et la disponibilité est rien moins que faux !

Ensuite, soyons précis, la disponibilité prend évidemment dans le cas de ces structures une importance qu'elle n'a pas partout ailleurs. La gestion des flux d'électricité par voie informatique entraîne un degré de disponibilité supérieur à celui d'un traitement de fichier lambda.

Cette disponibilité de très haut niveau est ainsi souvent une problématique de sécurité car elle entraîne des contraintes : chiffrer les flux peut impacter cette disponibilité et la mise à jours des failles de sécurité des composants entraîne parfois le re-démarrage momentané des équipements, ce qui n'est pas forcément acceptable !

Par ailleurs, les failles de sécurité proviennent parfois d'éléments extérieurs aux systèmes de gestions critiques : un wifi mal configuré, une faille organisationnelle ou autre, qui permettent d'accéder à ces réseaux.

Mais la question n'est plus alors le système critique en tant que tel mais bel et bien une question systémique d'architecture : définir des bulles, des périmètres...Question très familière par ailleurs en matière de SSI.

Résumons-nous: la disponibilité est une contrainte de sécurité, pas un "manque" de sécurité. Les failles ne sont pas forcément dans les systèmes critiques mais dans les interconnexions hasardeuses et le non-respect des règles et politiques de sécurité par ailleurs.

=> "On en a fait beaucoup pour la sécurité physique" : soyons logiques. La sécurité de ces infrastructures était largement plus menacé par des atteintes physiques que logiques. Si le rapport considère que la donne a changé, il ne reste pas moins que les autres risques de nature plus physique demeurent.

Par ailleurs, rappelons que la sécurité de l'information et des systèmes d'informations passent également par des barrières physiques. Elle est également profondément organisationnelle : c'est un ensemble de processus ou de "choses à faire" non respectées qui créent les failles.

Or, par exemple, définir, mettre en place, créer et améliorer un système de monitoring des réseaux critiques est une mesure de sécurité envisageable et qui pourrait répondre aux contraintes des systèmes à haute-disponibilité...En revanche, ce n'est pas une mesure techniquement "hyper" complexe. Elle dépend au contraire d'une bonne organisation, d'un choix d'outils rationnels et de processus bien construits...

Quelques réflexions sur un rapport, et surtout son communiqué de presse, quelque peu alarmiste (bien que fondé dans les faits) mais un peu approximatif dans ses conclusions ! (AMHA ;) )

Source : http://www.globalsecuritymag.fr/McAfee-Cyber-guerre-les-sites,20100128,15679.html

4 commentaires:

  1. Achtung,Camarade !-)

    Ce rapport est un sondage pas une étude scientifique (cf. note de bas de page No1)...Une petite nuance significative qui, heureusement, n'enlève en rien l'immense intérêt du document. Loin de là ;-)

    Cordialement

    RépondreSupprimer
  2. Merci de la rectification...J'avais noté rapport en suivant l'article de Global Security. Mais il est vrai qu'il s'agit d'un sondage.

    En revanche, je maintiens que certaines prises de position m'ont un peu choqué...Mais, une fois encore, ce n'est que mon opinion toute personnelle.

    RépondreSupprimer
  3. @ AG,

    Tout à fait d'accord avec toi. Il y a certains phrases fortes un peu trop simplistes comme celle -ci (p.24):"Eighty percent reported SCADA systems
    were connected to IP networks or the
    Internet, despite the risks involved."

    Ce qui est grossièrement inexact car, comme je l'ai mentionné dans mon deuxième volet sur la cyber-dissuasion (dans Alliance Geostratégique), les SCADA sont connectés au Net via des modems, des routeurs, des applications et des protocoles fermement sécurisés et intègrent des paramètres électro-mécaniques de sûreté.

    Mais, ce n'est pas à toi que j'apprendrais cela (LOL). Au fait, ton blog figure désormais dans mon blogroll.

    Cordialement
    Electrosphère / Alliance Géostratégique
    http://electrosphere.blogspot.com

    RépondreSupprimer
  4. Merci des informations ! Je suis, par ailleurs, très honoré d'être ainsi présent dans ta liste.

    Je n'ai pas encore fait la mienne mais je suis lecteur assidu d'Alliance Géostratégique et plus encore de ton blog perso !

    RépondreSupprimer