La défense périmétrique est morte ! Vive la défense périmétrique !
Si vous voulez être tendance dans les cocktails de la sécurité dites d’un air de celui qui sait « La défense périmétrique est morte et enterrée ».
Argumentez à coup de :
« Les firewall ne sont pas gérés et ils ne font qu’entraver les échanges et ralentir le business»
« Les anti-virus sont débordés par tous les vers et virus qui naissent chaque jour »
« Le filtrage des malveillants à l’entrée du réseau de l’entreprise est illusoire »
Et si vous manquez d’arguments, alors lisez la prose du dernier Think Tank à la mode dans le monde de la sécurité : le Jericho Forum (http://www.opengroup.org/jericho/)
Mais alors que faire ?
Mais c’est très simple : relier les équipements de l’entreprise par des liens VPN fiables : MPLS, tunnels IP Sec ou SSL. Et considérer que ces équipements appartiennent à un réseau de confiance.
C’est un peu le monde des Bisounours.
Comment imaginer que le PC professionnel ne sera jamais connecté à l’internet et qu’il ne fera pas l’objet d’une infection. Une fois la chose faute, le virus pourra se propager sans barrière aucune à l’intérieur du VPN de l’entreprise et croitre et multiplier sur les tous systèmes vulnérables.
De la même façon, comment faire que jamais une clé USB ne soit connectée à un équipement de l’entreprise pour exporter ou importer une étude, une présentation… et une infection.
Et comment avoir réellement confiance dans les équipements d’un sous-traitant ? Comment faire interfonctionner en toute sécurité 2 réseaux de confiance : le sien et le notre ?
Autant de questions auxquelles les réponses manquent de consistance sur le site du Jericho Forum, sponsorisé par on ne sait pas très bien qui. Surement pas les éditeurs d’anti-virus.
Au passage, un VPN réseau, c’est un peu comme une enceinte protégée qui, par construction, interdit les communications avec les non-membres. Finalement, n’est-ce pas une autre façon de construire une protection périmétrique ?
Malgré tous ses inconvénients réels (failles structurelles inévitables et coûts de déploiement et de maintenance élevés) la défense périmétrique reste aujourd’hui incontournable. Quant à la mise en œuvre de VPN MPLS, IP Sec ou SSL pour sécuriser les flux, qui penserait la remettre en cause.
Mais avant de pouvoir construire des environnements de confiance, c’est-à-dire faire confiance aux PC et surtout aux utilisateurs qui se trouvent derrière, il coulera encore beaucoup d’encre sous la plume de l’auteur J
Pour en savoir plus, vous pouvez vous reporter aux écrits de Cédric Blancher (Présentation SSTIC 2008 : http://www.sstic.org/SSTIC08/programme.do#BLANCHER).
Je suis Chief Security Officer pour Orange Business et adore les systèmes de management de la sécurité de l'information et autres boucles PDCA. Mon but est d'obtenir le meilleur cocktaïl d'humains, process et outils pour faire tourner de l'oeil les hackers. Je donnerais ma main droite pour une Déclaration d’Applicabilité de la certification ISO 27 001 avec les bons controles et justificatifs.