Nous avons récemment examiné les contrôles CIS v8.1 - une liste de 18 contrôles clés que vous devriez mettre en œuvre pour maintenir une cybersécurité complète. Un élément récurrent de ces contrôles est l'importance de la protection de votre réseau.
Ce billet traite des principes stratégiques qui jouent un rôle dans la conception de la sécurité du réseau en rapport avec la liste des contrôles CIS, en réponse à la question suivante : "Comment mettre en place un système de sécurité du réseau?
Comment mettre en place une stratégie de conception de la sécurité du réseau ?
La compartimentation au sein d'un réseau sécurisé comporte deux aspects essentiels.
Le premier est qu'au sein de l'organisation, le réseau doit être segmenté. Si une organisation dispose d'un réseau plat et ouvert, une fois que ce réseau est infiltré, le pirate peut établir un point d'appui pour se déplacer dans le réseau, potentiellement voler des données et infecter des actifs clés.
Grâce à la segmentation du réseau, l'ensemble du réseau est divisé en sous-réseaux plus petits. Un concept connexe de la ségrégation signifie l'application d'un ensemble de règles pour la communication entre les hôtes et les services.
L'étape clé de la segmentation est la mise en place de "zones démilitarisées" (DMZ) entre les sous-réseaux. Il s'agit de petits réseaux situés entre le réseau interne de l'organisation et l'internet public, qui peuvent être utilisés pour empêcher les acteurs malveillants d'atteindre le "sanctuaire intérieur" de l'organisation. La ségrégation peut être mise en place grâce à des protocoles de pare-feu qui interdisent le trafic entre le réseau public et le réseau privé interne, et entre la zone démilitarisée et le réseau interne.
Outre les zones démilitarisées, les organisations devraient envisager des sous-réseaux plus petits ou une microsegmentation lorsque des exigences de sécurité différentes s'appliquent à l'ensemble de l'organisation (par exemple, pour s'assurer que le traitement des cartes est conforme à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS)). Outre les pare-feu de réseau, cette segmentation peut être réalisée au moyen de routeurs ou de commutateurs ou par la mise en place de réseaux locaux virtuels (VLAN).
Le deuxième aspect de la compartimentation consiste à réfléchir soigneusement aux privilèges des utilisateurs. Les utilisateurs qui n'ont pas besoin d'accéder aux données personnelles des clients, par exemple, devraient avoir un accès limité aux réseaux contenant ces données.
C'est là qu'intervient le "principe du moindre privilège" ou "PoLP" : Les personnes au sein de l'organisation ne doivent avoir que les privilèges/accès au système nécessaires à l'accomplissement de leur travail. L'évaluation des privilèges des utilisateurs est également liée à la segmentation et à la ségrégation du réseau : Si un sous-réseau particulier n'a pas besoin de communiquer avec un autre sous-réseau, il ne doit pas pouvoir le faire.
Principaux enseignements : Stoppez les intrus en utilisant la microsegmentation et en veillant à ce que tous les employés et les sous-traitants disposent des privilèges d'utilisateur appropriés.
Dans chaque organisation, il y a des points faibles pour le réseau. Le maillon le plus faible de la chaîne, en quelque sorte. Et malheureusement, pour la plupart des organisations, il s'agit de leur personnel. Par exemple, quelle que soit la solidité de vos systèmes de défense informatique, la sécurité peut s'effondrer si un employé tombe dans le piège d'une escroquerie par hameçonnage. Les domaines de risque sont les suivants
Les organisations doivent s'assurer qu'elles disposent de la formation adéquate pour vérifier que les employés et les sous-traitants comprennent ce qu'ils doivent faire pour garantir la sécurité du réseau.
Ce qu'il faut retenir : Souvent, les personnes au sein de votre organisation représentent le plus grand risque à gérer pour améliorer la sécurité du réseau.
Une fois que tous les différents aspects de votre système de sécurité réseau sont en place, vous devez vous assurer qu'ils protègent efficacement les actifs de votre organisation. C'est là que les tests de vulnérabilité sont essentiels : il s'agit de tester régulièrement les défenses mises en place pour voir où se trouvent les "failles".
Il est recommandé à une organisation d'utiliser une approche mixte, à la fois automatisée et manuelle. Un outil automatisé d'analyse des vulnérabilités identifiera tous les systèmes (par exemple, les serveurs, les ordinateurs de bureau, les ordinateurs portables) connectés au réseau. Il utilisera ensuite une liste de contrôle des vulnérabilités connues et vérifiera si l'une d'entre elles est présente.
Cette méthode se distingue des tests de pénétration (contrôle 18), qui visent à détecter les faiblesses spécifiques du réseau susceptibles d'être exploitées par un individu se faisant passer pour une personne réelle ou un attaquant.
Ce qu'il faut retenir : La sécurité de votre réseau doit être régulièrement évaluée afin de détecter d'éventuelles lacunes.
La protection d'un château médiéval nécessitait la mise en place de plusieurs niveaux de sécurité. Tout d'abord, le château était situé dans un endroit où la géographie naturelle le protégeait des invasions : souvent à côté de falaises, sur des collines et à proximité de grandes étendues d'eau. Ensuite, une série d'obstacles artificiels (douves, lourdes portes et pièges) ont été mis en place pour empêcher les intrus d'avancer jusqu'au donjon du roi.
De même, la stratification est un aspect essentiel de la conception d'un réseau sécurisé. L'idée, bien sûr, est que si une intrusion ou une attaque passe à travers une couche de défense, une autre couche de défense la rattrapera. La stratification rassemble tous les éléments précédents de la conception de la sécurité du réseau dont nous avons parlé. Les principales couches de la sécurité des réseaux sont les suivantes
Ce qu'il faut retenir : En cas de défaillance d'une protection, les autres protections doivent servir de sauvegarde pour empêcher toute attaque ou intrusion d'aggraver les dommages.
La conception de la sécurité du réseau est importante car elle est à la base de votre stratégie de cybersécurité. La mise en œuvre d'éléments de cybersécurité individuels, tels que le cryptage et les pare-feux, de manière ad hoc ne suffira pas. Ces éléments doivent être reliés entre eux de manière cohérente. Nous recommandons que la conception de la sécurité de votre réseau soit fondée sur les principes stratégiques de la compartimentation, du maillon le plus faible, des tests de vulnérabilité et de la stratification.