SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Principes de Marcus Convertir en PDF Version imprimable Suggérer par mail
22-11-2007
Marcus J. Ranum est un scientifique américain considéré comme l’un des inventeurs du firewall. Il a écrit en 2005 un article humoristique mais profondément sérieux évoquant les 6 idées les plus stupides sur la SSI, intitulé : The Six Dumbest Ideas in Computer Security
Nous nous inspirerons de cet article pour teinter notre approche de la SSI d'une couche de bon sens d'esprit critique et de pragmatisme que l'on ne trouve pas toujours "dans la boite" :

Idée stupide n°1 : Tout ce qui n'est pas explicitement interdit est autorisé

C'est malheureusement une règle généralement admise :
  • dans les systèmes : exemples  tout programme est exécutable sauf si mon anti-virus l'interdit (c'est d'autant plus stupide que le nombre d'applications couramment employées sur un poste de travail donné est très faible (généralement < à 30),
  • au plan juridique : Tout ce qui n'est pas spécifiquement interdit dans la Charte est autorisé : exemple : je peux accéder à tous les sites internet sauf ceux figurant dans la liste de mon outil de filtrage et annexé à la charte et tant-pis si mon administrateur en a oublié...etc.
Les conséquences de cette idée stupide n°1 sont que l'on se retrouve dans une situation de course poursuite sans fin avec les hackers car cela signifie que tout ce que vous ne connaissez pas encore peut (et va) endommager vos systèmes.
Une meilleure idée : Tout ce qui n'est pas explicitement autorisé est interdit.
Cette démarche est la moins simple à mettre en œuvre, mais de très loin la plus efficace.

Idée stupide n°2 : Recenser et détecter toutes les vulnérabilités

Quand c'était encore possible, pourquoi pas... mais il est trop tard (voir la courbe ci-dessous) !
Effet Ranum
Tous les vendeurs d'anti-virus honnêtes (oxymore ?) vous le diront : détecter les malwares uniquement via leur signature  est devenu tout bonnement  impossible.
Le trafic hostile est tel aujourd'hui que cette idée stupide N°2 rejoint rapidement l'idée stupide n°1 :
il vaut mieux traquer les vulnérabilités des 30 applications usuelles que celles de 75000 (et plus) malware recensés.
Une meilleure idée :
Il vaut mieux autoriser seulement le seul trafic connu comme appartenant à ses propres applications que d'autoriser tous les trafics en espérant filtrer à la volée les trafics illicites. A cela certain objecteront que c'est impossible.... à voir !
Ceux qui admettrons qu'ils ne connaissent pas leurs propres applications, architectures ou systèmes (en préférant cotiser au marketing de la peur sans engagement de résultats) admettrons implicitement deux choses :
  • Ils ne connaissent pas leur système d'information et ses vulnérabilités,
  • Ils n'ont pas mis en œuvre les dispositions d'analyse de risques SSI en amont de leurs projet de développement ou d'acquisition.
Dans les deux cas c'est un aveu d'incompétence dans leurs fonctions de responsabilités IT.

Idée stupide n°3 : Pénétrer et patcher

"si cette idée était juste, il y longtemps qu'Internet explorer serait considéré comme exempt de faille !"
Les problèmes de design initiaux font que les applications dont certaines vulnérabilités ont déjà été mise en évidence et corrigées se sont avérées à nouveau buggées. Rajouter du code à un code mal conçu c'est comme mettre "un cautère sur une jambe de bois".
Si vous êtes obligés d’appliquer systématiquement les derniers "patchs du mois" c’est que votre système est vulnérable tous les mois à une nouvelle attaque.
La programmation (rapide?) actuelle, souvent réalisée en mode "target and forget" a des conséquences bien supérieures à l'énergie supplémentaire nécessaire pour développer des applications sûres. Sans compter sur l'impact lié aux dysfonctionnements ou au hacking induits.
Une meilleure idée :
Investir en amont pour développer des programmes sûrs, avec des capacités de cloisonnement, d' auto-détection et de traitement d'exceptions de leurs propres dysfonctionnements potentiels (flaw handling), coute moins cher que d'effectuer des cycles sans fin de tests de vulnérabilité et de patchs.

Idée stupide n°4 : Le hacking, c'est cool

C'est un véritable problème social :
Effet de mode, encouragé par les médias qui aiment valoriser l’intelligence et la technicité des hackers, lesquels "à la retraite" écrivent des livres que l'on s'arrache sur leurs "exploits" ou sont payés pour des tests de pénétration de systèmes ou de réseau...
Cette idée est contre-productive : La vulgarisation des techniques d'attaques proposées est malheureusement exploitée par tous les spammers et, protégés par le sentiment d’anonymat, des informaticiens timides peuvent s'en emparer pour devenir de vrais criminels...
Une meilleure idée : Pour un spécialiste de la sécurité, se consacrer à la compréhension des techniques de hacking est aussi une perte de temps. Il vaudrait mieux investir ce temps à concevoir ou aider à concevoir des systèmes sûrs... et à promouvoir la bonne idée suivante : Good Engineering is Cool !

Idée stupide n° 5 : Sensibiliser les utilisateurs

"Si éduquer les utilisateurs est la stratégie que vous imaginez, prévoyez de "patcher" celle-ci tous les weekend "!
Sans tomber dans la désespérance, on peut se demander pourquoi tant d'utilisateurs avertis cliquent encore sur des documents joints en .exe ou répondent à des courriers de banquiers chez qui ils n'ont même pas de compte ?
De nombreuses études nous apprennent qu'un pourcentage significatif d'utilisateurs avertis est capable d'échanger son password pour un leurre; 
Le vers d'Anna Kournikova a démontré que la moitié des utilisateurs mâles cliquera sur un lien annonçant des célébrités en tenue d’Eve !
Et si l'on compte sur l'utilisateur seul, on est déjà dans une logique de l'idée stupide n°1 : tout est permis par défaut.
Une meilleure idée : mieux vaut anticiper que prévenir !
ainsi, par exemple, une solution de traitement préventif des pièces jointes (destruction automatique des .exe et autres .vbs) et un attachement des autres pièces avec un lien sur un serveur en accès SSL peut réduire notablement le risque de propagation de nombreux vers.
Sensibiliser les utilisateurs , c'est bien, contraindre avec agilité, c'est mieux.
Sensibiliser les utilisateurs c'est bien, sensibiliser les décideurs, c'est mieux !
Voir aussi à ce sujet : Retour à l'employeur

Idée stupide n° 6 : il vaut mieux agir que de ne rien faire

"Il est toujours plus facile de ne pas faire quelque chose d’idiot que de faire quelque chose d’intelligent..."
Entre les DSI "téméraires" adeptes des dernières technos (Web 2.0, Wifi ?) et les "prudents" il n'y a pas photo : Il est vérifié que les premiers ne mettent que très peu souvent en œuvre une politique de sécurité à la hauteur des enjeux.
Une meilleure idée  : Il peut s'avérer urgent de ne rien faire... dans l'urgence :
Laisser des pans entiers de la SSI sans rien faire serait suicidaire, cependant il convient de laisser les "early adopters" faire les frais de leur témérité sur des solutions non encore éprouvées. Il est préférable de se comporter en "suiveurs agiles" et de  profiter pleinement de l'expérience de ceux qui ont survécu.







Dernière mise à jour : ( 29-08-2009 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.