Accéder à Diane

Mécanismes et politiques de sécurité

Aucune carte

Ce document couvre les principes de la défense en profondeur, les contrôles d'accès physiques et logiques, la sécurité périmétrique et interne, ainsi que les politiques d'entreprise pour protéger les systèmes informatiques.

Introduction à la Sécurité Informatique et ses Politiques

La sécurité informatique est un ensemble de règles, de moyens techniques et humains visant à protéger les systèmes informatiques. Son objectif principal est de garantir la confidentialité, l'intégrité et la disponibilité des données, tout en réduisant les risques liés aux cyberattaques, aux erreurs humaines et aux incidents techniques.

Objectifs d'apprentissage

  • Comprendre la défense en profondeur comme une vision globale de la sécurité.

  • Différencier le contrôle d'accès physique et le contrôle d'accès logique.

  • Identifier la différence entre la sécurité périmétrique et la sécurité interne.

  • Apprendre à lire et rédiger des politiques d'entreprise en matière de sécurité.

1. La Défense en Profondeur

La défense en profondeur est une stratégie de sécurité qui repose sur la superposition de couches de protection. Si une couche est contournée, les autres continuent de protéger le système, limitant ainsi l'impact d'une éventuelle compromission.

Principes de la Défense en Profondeur

  • Superposition de couches: Chaque élément de sécurité (pare-feu, chiffrement, authentification, droits d'accès, antivirus) représente une couche distincte.

  • Objectif: Limiter les conséquences d'une compromission (vol de mot de passe, piratage d'un PC ou d'un serveur).

  • Approche: Elle est à la fois organisationnelle et technique.

Les Cinq Niveaux de Protection

Niveau 1: Organisationnel

C'est la base humaine et administrative de la sécurité. Sans règles claires, même les meilleurs outils sont inefficaces.

  • Charte et politique de sécurité: Documents définissant les règles et les bonnes pratiques.

  • Procédures internes: Instructions détaillées pour l'application des règles.

  • Sensibilisation des utilisateurs: Formation du personnel pour reconnaître et éviter les menaces.

  • Gestion des rôles et responsabilités: Attribution claire des tâches et privilèges.

Niveau 2: Physique

Ce niveau protège les lieux et équipements physiques.

  • Contrôle d'accès aux locaux: Badges RFID, biométrie.

  • Vidéosurveillance: Des caméras pour surveiller les zones sensibles.

  • Salles serveurs sécurisées: Accès restreint, conditions environnementales contrôlées.

  • Coffrets réseau verrouillés: Pour protéger les équipements réseau.

Exemple: Pour accéder à la salle des serveurs, un employé doit d'abord passer un portail avec un badge, puis traverser un couloir sous vidéosurveillance, et enfin scanner son empreinte digitale pour déverrouiller la porte de la salle. Une fois à l'intérieur, la baie réseau est elle-même verrouillée.

Niveau 3: Réseau

Ce niveau protège l'infrastructure du réseau.

  • Pare-feu / Firewall: Filtre le trafic entrant et sortant du réseau.

  • VLAN (Réseaux Locaux Virtuels): Sépare différents segments du réseau pour isoler les ressources critiques.

  • VPN (Réseau Privé Virtuel): Permet un accès distant sécurisé au réseau de l'entreprise.

  • IDS/IPS (Systèmes de Détection/Prévention d'Intrusion): Détectent et bloquent les attaques en temps réel.

Niveau 4: Système d'Exploitation (OS)

Ce niveau protège les systèmes d'exploitation (Windows, Linux, serveurs) contre l'exploitation des failles système.

  • Mises à jour et correctifs (patchs): Appliquent les dernières corrections de sécurité.

  • Antivirus / EDR (Endpoint Detection and Response): Détectent et neutralisent les logiciels malveillants.

  • Pare-feu local: Un pare-feu sur chaque machine.

  • Gestion des comptes utilisateurs: Contrôle les droits des utilisateurs sur le système.

  • Durcissement du système (hardening): Configuration sécurisée de l'OS pour éliminer les vulnérabilités par défaut.

Niveau 5: Application et Données

Ce niveau protège les logiciels, applications métiers (sites web, ERP) et les données elles-mêmes.

  • Authentification sécurisée: Garantit que seuls les utilisateurs autorisés peuvent accéder aux applications.

  • Gestion des sessions: S'assure que les sessions utilisateur restent sécurisées.

  • Contrôle des entrées (anti-injection): Prévient les attaques par injection de code.

  • Mise à jour des applications: Corrige les failles de sécurité dans les logiciels.

  • Journalisation (logs applicatifs): Enregistre les activités pour l'audit et la détection d'incidents.

  • Chiffrement des données: Rends les données illisibles sans la clé de déchiffrement.

  • Sauvegardes régulières: Permettent de restaurer les données en cas de perte.

  • Contrôle d'accès aux fichiers: Gère qui peut voir, modifier ou supprimer des fichiers.

  • Protection contre la fuite de données: Empêche la sortie non autorisée d'informations sensibles.

Même si toutes les protections précédentes sont contournées, le chiffrement des données et les sauvegardes garantissent que les informations restent protégées ou récupérables.

2. Contrôle d'Accès Physique et Logique

Le contrôle d'accès est essentiel pour protéger les ressources en garantissant que seuls les individus autorisés peuvent y accéder.

Contrôle d'Accès Physique

Ce type de contrôle protège les lieux et équipements matériels.

  • Badges RFID: Cartes d'accès électroniques.

  • Biométrie: Empreintes digitales, reconnaissance faciale.

  • Vidéosurveillance: Pour la surveillance et l'enregistrement.

  • Barrières physiques: Portails, portes blindées, etc.

Contrôle d'Accès Logique

Ce contrôle gère l'accès aux systèmes informatiques et aux données. Il suit un processus précis:

  1. Authentification: Vérification de l'identité de l'utilisateur (mot de passe, MFA - Multi-Factor Authentication).

  2. Autorisation: Définition des droits et rôles de l'utilisateur une fois authentifié.

  3. Accès ressource: L'utilisateur accède aux ressources autorisées.

  4. Traçabilité (logs): Enregistrement de toutes les actions pour l'audit.

Modèles de Contrôle d'Accès Logique

  • DAC (Discretionary Access Control): Le propriétaire d'une ressource décide qui peut y accéder et avec quels droits. Exemple: Un utilisateur partage un fichier avec d'autres et définit leurs permissions.

  • MAC (Mandatory Access Control): Basé sur des étiquettes de sécurité et des niveaux de classification. L'accès est décidé par le système, pas par le propriétaire. Exemple: Systèmes militaires où les informations sont classifiées.

  • RBAC (Role-Based Access Control): Les droits sont attribués à des rôles, et les utilisateurs se voient attribuer un ou plusieurs rôles. L'accès dépend du poste de la personne, non de la personne elle-même. Exemple: Un "manager" a accès aux budgets, un "employé" non, quel que soit l'individu.

3. Sécurité Périmétrique et Interne

Ces deux concepts décrivent où les mesures de sécurité sont appliquées pour protéger contre les attaques.

Sécurité Périmétrique

Elle protège le réseau externe de l'entreprise des menaces extérieures.

  • Pare-feu: Filtre le trafic entre le réseau interne et l'Internet.

  • DMZ (Demilitarized Zone): Zone réseau isolée entre le réseau interne et l'extérieur, hébergeant les serveurs accessibles depuis Internet (serveurs web, mail). Ce n'est ni le réseau interne, ni le réseau externe.

  • Proxy: Serveur intermédiaire qui gère les requêtes entre les utilisateurs internes et Internet.

  • VPN: Permet aux utilisateurs distants de se connecter de manière sécurisée au réseau interne.

  • Filtrage ACL (Access Control List): Règles spécifiant quels paquets réseau sont autorisés ou bloqués.

Exemple: Le réseau d'une entreprise est protégé du web extérieur par un pare-feu et une DMZ qui héberge son site web. Les employés en télétravail se connectent via un VPN.

Sécurité Interne

Elle protège le réseau et les systèmes à l'intérieur de l'entreprise contre les menaces internes ou celles ayant déjà franchi le périmètre.

  • Antivirus / EDR: Protections sur les postes de travail.

  • Mises à jour automatiques: Maintien des logiciels à jour pour corriger les vulnérabilités.

  • Gestion des privilèges: Application du principe du moindre privilège.

  • Segmentation du réseau interne (VLAN): Isoler les différents services ou départements pour qu'une compromission dans l'un n'affecte pas les autres.

  • Surveillance des activités: Détection des comportements anormaux.

Exemple: Au sein du réseau interne, les équipes de développement sont sur un VLAN séparé de celui de la comptabilité. Tous les postes sont équipés d'un EDR et leurs logiciels sont mis à jour automatiquement.

4. Politiques d'Entreprise

Les politiques d'entreprise sont des documents formels qui définissent les règles et les procédures pour l'organisation et la sécurité. Elles assurent une sécurité cohérente et servent de base à l'action humaine et technique.

Exemples de Politiques Clés

Politique de mots de passe

Vise à renforcer la robustesse des mots de passe.

  • Longueur minimale: Souvent 12 caractères ou plus.

  • Complexité obligatoire: Combinaison de majuscules, minuscules, chiffres et caractères spéciaux.

  • Expiration régulière ou MFA: Changement fréquent des mots de passe ou utilisation de l'authentification multi-facteurs.

  • Interdiction de réutilisation: Ne pas réutiliser d'anciens mots de passe.

Politique de sauvegarde

Garantit la récupération des données en cas de perte ou de corruption.

  • Sauvegarde quotidienne: Fréquence des sauvegardes.

  • Rétention: Période pendant laquelle les sauvegardes sont conservées (ex: 30 jours minimum).

  • Copie externalisée: Une copie des sauvegardes doit être stockée hors site pour se prémunir contre les catastrophes locales.

  • Tests de restauration: Vérifications régulières de la capacité à restaurer les données.

Politique d'accès

Définit les règles d'accès aux systèmes et aux données.

  • Principe du moindre privilège: Les utilisateurs ne doivent avoir que les droits strictement nécessaires à l'accomplissement de leurs tâches.

  • Accès selon le rôle: L'attribution des droits est basée sur les fonctions de l'employé.

  • Comptes administrateurs limités: Utilisation restreinte des comptes avec des privilèges élevés.

  • Révocation des accès immédiate: Les accès sont supprimés dès qu'un employé quitte l'entreprise ou change de rôle.

Politique d'utilisation

Établit les règles pour l'utilisation des ressources informatiques de l'entreprise.

  • Utilisation professionnelle uniquement: Les équipements et logiciels de l'entreprise sont réservés à des fins professionnelles.

  • Interdiction de logiciels non autorisés: Empêche l'installation de logiciels non approuvés.

  • Interdiction de clés USB inconnues: Pour prévenir les infections par malware.

  • Respect de la charte informatique: Engagement à suivre les directives de l'entreprise.

Points Clés à Retenir

  • La sécurité repose sur plusieurs couches (défense en profondeur).

  • L'humain (politiques, sensibilisation) est aussi important que la technique.

  • Les politiques assurent une sécurité cohérente et organisée.

  • La sécurité est un processus continu nécessitant une adaptation constante.

Lancer un quiz

Teste tes connaissances avec des questions interactives