Face à la multitude des risques et des menaces, « prévenir est impératif, parce que guérir est impossible et de toute façon ne sert à rien », préviennent les auteurs, Laurent Bloch, DSI de l’Université Paris-Dauphine et Christophe Wolfhugel, consultant et ingénieur chez Sendmail. De fait, si l’analyse des risques reste indispensable, il convient de « s’y adonner, mais avec scepticisme », insistent les auteurs.
Avec une bonne dose de pessimisme que l’on pourrait appeler aussi réalisme : « L’analyste de risques sceptique sait que son pare-feu sera franchi, que son antivirus ne sera pas à jour, que son système de détection d’intrusion ne le préviendra pas de l’attaque, que les copies de sauvegarde seront corrompues, que son site de secours sera inondé ou détruit par un incendie : mais, éduqué dans la religion probabiliste, il sait que toutes des catastrophes ne surviendront pas simultanément. »
D’où l’idée de défense en profondeur qui consiste à ne pas tout miser sur la solidité des mécanismes de sécurité, mais de couvrir le plus de périmètre possible : « Si la garnison de mon pare-feu est finalement submergée par l’assaillant, elle en aura néanmoins réduit les effectifs avant de succomber, ce qui facilitera la mission des escadrons d’antivirus et ainsi mon système redondant risquera moins d’être saboté par un ver », expliquent les auteurs.
Ceux-ci sont persuadés que la sécurité du système d’information « n’est pas et ne peut pas être contenue dans un dispositif ni dans un ensemble de dispositifs, qu’elle ne peut pas non plus être contenue dans les limites temporelles d’un projet, mais qu’elle est un processus ou, si l’on veut, une activité ».
Sécurité informatique, principes et méthodes à l’usage des DSI, RSSI et administrateurs, par Laurent Bloch et Christophe Wolfhugel, Eyrolles, 2011, 3e édition, 325 pages.
Cet ouvrage s’articule autour de quatre parties. La première rappelle les principes généraux de la sécurité des systèmes informatiques. « Vous devriez pouvoir la faire lire à votre directeur du système d’information », précisent les auteurs. Y sont abordées les notions de base telles que les menaces, les risques, les vulnérabilités, les aspects techniques (identifier, authentifier, définir les risques…), les aspects organisationnels, la législation, les types de logiciels malveillants, la veille et le management de la sécurité.
La deuxième, de lecture plus ardue, aborde la sécurité sous l’angle scientifique. Avec comme clé de voûte le chiffrement, notamment « les inventions révolutionnaires de l’échange public de clés et du chiffrement asymétrique ». Cette partie détaille également les aspects de la sécurité des systèmes d’exploitation et des programmes, la sécurité du réseau et les notions d’identités, d’annuaires et d’habilitations.
Les auteurs s’attardent en particulier sur la manière de créer un réseau de confiance (avec annuaire électronique et gestion de clés) et d’organiser un système d’identité numérique. La troisième partie est consacrée aux incontournables problématiques politiques, sociales et psychologiques de la sécurité. On y trouvera les éléments concernant les chartes des utilisateurs et des administrateurs système et réseau, ainsi que les composantes de base pour bâtir une politique de sécurité des systèmes d’information.
Enfin, la dernière partie présente l’état des menaces et l’avenir de la sécurité informatique. Pour cette troisième édition, les auteurs ont mis à jour leur propos avec les dernières évolutions en matière de menaces et de sécurité et proposent notamment un éclairage sur la dimension géostratégique de la sécurité liée à Internet (Wikileaks, attaques contre la Géorgie et l’Estonie, coupures d’Internet en Egypte et en Tunisie…).
Les auteurs en profitent pour rappeler les six idées les plus stupides en matière de sécurité, empruntées à Marcus Ranum, expert américain en sécurité et détection d’intrusions : « Par défaut, tout est autorisé » ; prétendre dresser la liste des menaces ; tester par intrusion puis corriger ; « les pirates sont sympas » ; compter sur l’éducation des utilisateurs ; considérer que « l’action vaut mieux que l’inaction ».
Il existe bien sûr d’autres idées stupides, du traditionnel « nous ne sommes pas une cible intéressante » au tout aussi classique « pas besoin de pare-feu, notre système est sûr » (variante : « pas besoin de sécuriser le système, nous avons un bon pare-feu »), en passant par l’indémodable « démarrons la production tout de suite, nous sécuriserons plus tard ».
Pourtant, avertissent les auteurs : « Lorsqu’un accident ou un pirate a détruit les données de l’entreprise et que celle-ci n’a ni sauvegarde ni site de secours, elle est condamnée, tout simplement. » Et ils ont raison…