Architecture et ingénierie de la sécurité
Le domaine de l'architecture et de l'ingénierie de la sécurité est l'un des piliers fondamentaux de la certification CISSP (Certified Information Systems Security Professional). Il se concentre sur la conception, la mise en œuvre et l'évaluation des systèmes de sécurité pour protéger les ressources d'une organisation (matériel, applications, données…). Il couvre de nombreux concepts et pratiques, essentiels pour garantir la confidentialité, l'intégrité et la disponibilité des systèmes d'information (SI).
Conception des réseaux
L'architecture et l'ingénierie de la sécurité incluent la conception de réseaux sécurisés, la mise en œuvre de contrôles et l'évaluation continue des SI pour s'assurer qu'ils répondent aux exigences de sécurité. Bien sûr, les concepteurs s’appuient sur les principes fondamentaux de la sécurité, les technologies disponibles et les meilleures pratiques pour que les systèmes soient robustes.
Quelques règles :
- Segmentation du réseau : diviser le réseau en segments pour limiter l'accès et contenir les menaces. Les techniques de segmentation incluent les VLAN (Virtual Local Area Networks) et les sous-réseaux.
- Contrôles d'accès : mettre en place des contrôles d'accès pour s'assurer que seules les personnes autorisées peuvent accéder aux ressources du réseau. Cela peut être réalisé par des listes de contrôle d'accès (ACL), des pare-feu et des systèmes de détection/prévention d'intrusion (IDS/IPS).
- Chiffrement : utiliser le chiffrement pour protéger les données en transit et au repos. Les protocoles de chiffrement tels que SSL/TLS, IPsec, et les VPN (Virtual Private Networks) sont couramment utilisés.
- Redondance et tolérance aux pannes : concevoir des réseaux avec des mécanismes de redondance pour assurer la disponibilité continue des services, notamment par l'utilisation de routeurs et de commutateurs redondants, ainsi que des chemins de communication multiples.
Il existe donc plusieurs couches de protection. C’est le principe de la défense en profondeur.
Contrôles
La mise en œuvre de contrôles de sécurité est essentielle pour protéger les SI. On peut les classer en trois catégories :
- Contrôles préventifs, conçus pour empêcher les incidents de sécurité avant qu'ils ne se produisent. Exemples : pare-feu, antivirus, contrôles d'accès…
- Contrôles détectifs, conçus pour détecter les incidents de sécurité lorsqu'ils se produisent. Exemples : systèmes de détection d'intrusion (IDS), journaux d'audit, surveillance des événements de sécurité…
- Contrôles correctifs, conçus pour répondre aux incidents de sécurité après qu'ils se sont produits. Exemples : plans de réponse aux incidents, correctifs de sécurité, restaurations à partir de sauvegardes…
Évaluation et gestion
L'évaluation et la gestion des risques sont des processus continus qui visent à identifier, analyser et atténuer les risques associés aux SI.
- Identification des actifs.
- Analyse des menaces et des vulnérabilités. Elle peut être réalisée par des audits de sécurité, des tests de pénétration et des évaluations de vulnérabilité.
- Évaluation des risques, c’est-à-dire de la probabilité d’une menace. Les risques peuvent être classés en fonction de leur criticité et de leur potentiel d'impact sur l'organisation.
- Atténuation des risques. C’est la mise en place de mesures telles que la mise en œuvre de contrôles de sécurité, la formation des employés et la mise à jour des politiques de sécurité.
Technologies
Quelques exemples de technologies de sécurité :
- Pare-feu : dispositif ou logiciel qui contrôlent le trafic réseau entrant et sortant en fonction de règles de sécurité prédéfinies.
- Systèmes de détection d'intrusion (IDS) : application qui surveille l’activité d’un système et qui alerte les administrateurs du réseau si une intrusion est détectée. Toutefois, un IDS ne détecte que les signatures d’attaques connues et n’arrête pas le fonctionnement du SI.
- Systèmes de prévention d’intrusion (IPS) : application qui, contrairement à l’IDS, rejette les paquets réseau suspects.
- Antivirus : logiciels qui détectent, bloquent et éliminent les malwares.
- Chiffrement : techniques visant à rendre les données illisibles pour les personnes non autorisées. Les algorithmes de chiffrement courants incluent AES, RSA et DES.
- Authentification multifactorielle (MFA) : méthodes d'authentification qui requièrent deux ou plusieurs preuves d'identité pour accéder à un système. Pour un particulier, il est courant de devoir entrer un mot de passe dans une application et de confirmer l’authenticité par un code reçu par SMS.
Normes et cadres
Les normes et cadres de sécurité fournissent des lignes directrices et des meilleures pratiques pour la conception et la mise en œuvre de systèmes de sécurité. Voici quelques cadres couramment utilisés :
- ISO/IEC 27001/27002 : normes internationales pour la gestion de la sécurité de l'information. Elles fournissent des exigences et des lignes directrices pour la mise en place d'un système de gestion de la sécurité de l'information (SGSI).
- NIST Cybersecurity Framework : cadre développé par le National Institute of Standards and Technology (NIST) pour aider les organisations à gérer et réduire les risques de cybersécurité.
- COBIT : cadre pour la gouvernance et la gestion des technologies de l'information. Il fournit des pratiques et des outils pour la cybersécurité.
- ITIL : bibliothèque des infrastructures des technologies de l'information. ITIL fournit des meilleures pratiques pour la gestion des services informatiques, y compris la sécurité.
Gestion
La gestion des incidents de sécurité est un processus structuré pour détecter les incidents, y répondre et enfin restaurer le SI.
- Détection des incidents (utilisation d’outils et de techniques pour détecter les incidents de sécurité : systèmes de surveillance, alertes, journaux d'audit…).
- Réponse aux incidents, c’est-à-dire mise en place d’un plan de réponse aux incidents pour contenir, éradiquer et récupérer des incidents : isolement des systèmes affectés, analyse des causes profondes…
- Récupération : après un incident, il est important de restaurer les systèmes à leur état normal et de tirer des leçons. Les analyses post-incident sont essentielles, avec pour conséquence une mise à jour des politiques de sécurité.