Jean-Francois Beauzel

Réseau et Sécurité, amalgame pour un échec

Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire.[/vc_column_text][/vc_column][/vc_row]

Se concentrer uniquement sur la défense périmétrique reste une erreur fréquente

Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de vos infrastructures et environnements, c’est se protéger contre des vecteurs et méthodes d’attaques bien connus, anciens… et toujours terriblement efficaces (reverse shell, connexion à des serveurs Command & Control…). Mais il est impossible de construire une bulle isolée de tout car cela va à l’encontre même de l’essence même d’un système d’information, qui doit pouvoir être accessible.

la sécurité ne se réduit pas au réseau

Mon point est justement le suivant : les équipes réseaux qui sont généralement en charge des mécanismes de défenses périmétriques, ne sont pas là pour mettre en œuvre les mécanismes de défense nécessaires sur les serveurs et postes de travail. Il n’est également pas dans leurs attributions de maintenir à jour les systèmes d’exploitation, binaires et librairies présentes.

L’infrastructure peut permettre d’isoler tout ou partie du système d’information, mais ne pourra généralement rien si un malware, par exemple de type « ransomware » (logiciel malveillant d’extorsion), se propage à l’ensemble des terminaux de vos utilisateurs ou entre vos différents environnements si ceux-ci ne sont pas correctement segmentés. Et ceci n’est qu’un petit aperçu des limites de la défense périmétrique.

Il est également nécessaire de garder en tête que, pour une équipe réseau, analyser les logs de sécurité n’est pas nécessairement trivial. Prenez une alerte générée par un NIDS/NIPS (Sonde de détection/ prévention d’intrusion), un WAF (firewall applicatif web) ou autre, et essayez de définir s’il s’agit d’un faux positif, ou d’une alerte légitime. Et si cette alerte est  une simple tentative qui a échoué, ou la trace d’une attaque réussie…

Sécurité = Réseau + Système + Web/Cloud + Gouvernance + ...

Clairement, analyser ces traces est un métier à part et nécessite généralement de combiner des connaissances en réseau, système, technologie web et en cybersécurité. Ainsi, la sécurité est et restera un domaine transverse et pluridisciplinaire qui a besoin d’une approche globale, en utilisant de manière coordonnée les différents mécanismes de défense existants.

Ne vous méprenez pas, je ne prétends pas qu’un ingénieur réseau ne pourra jamais devenir un analyste sécurité efficace, ayant moi même un passé réseau, mais que cela ne suffira pas dans ses tâches quotidiennes, et sur des systèmes dont il n’a pas nécessairement la connaissance car hors de son périmètre et de sa qualification technique.

Au final, l’important sera de coordonner les compétences de chacun, pour les faire travailler ensemble sur le traitement des incidents de sécurité, et l’amélioration continue des mécanisme de protection et de détection. Et si vous avez besoin d’aide pour mettre en place cette organisation, iDNA est là pour vous épauler.

Articles associés

Chrome remplace l’icône de verrouillage des adresses URL 

24 mai 2023
Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

27 avril 2023
L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]
Partager cet article
Derniers articles

Chrome remplace l’icône de verrouillage des adresses URL 

Depuis les années 90, nos navigateurs internet ont toujours affiché une icône de verrou devant les sites en protocole HTTPS. Ce dernier est d’ailleurs devenu une norme : 95% des pages web chargées sur Chrome (sur les systèmes d’exploitation Windows) passent par ce canal sécurisé et affichent l’icône de verrouillage : Cette icône est destinée à indiquer […]

Une rançon de 10 millions de dollars pour le Centre Hospitalier Sud Francilien (CHSF).

L’attaque « Une rançon fixée à 10 millions d’euros » Le 21 août 2022, aux alentours d’une heure du matin, le Centre Hospitalier Sud Francilien (CHSF) est victime d’un ransomware. L’attaque bloque tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information relatif aux admissions des patients. Les pirates leur réclament 10 millions […]

Chronique d’une attaque annoncée : IOCs vs TTPs

Dans cet article je vous propose d’aborder le sujet de la détection des attaques informatiques et la manière de les contrer. La détection d’une attaque peut se faire en regardant les empreintes laissées par l’attaquant et ses outils, approche Indicateur de Compromission (IOC: Indicator Of Compromise), ou en s’appuyant sur une compréhension du comportement de […]

PCA, PRA, PCI, PRI, PCC : Stop à la confusion

En 2020, la crise sanitaire du COVID a mis toutes les sociétés à rude épreuve. Les moins structurées ont eu du mal à gérer leurs processus les plus essentiels et à s’organiser afin d’éviter des pertes financières considérables. Travaillant alors au sein d’un organisme certifié ISO 27001 dont l’une des exigences était notamment la mise […]