==============================================================================================================================================
Cette semaine, et cette année en fait (comme tous les ans, mais encore plus cette année), il va falloir expliquer, justifier et défendre les budgets sécurité. La faute à la crise diront certains. Les investissements sont regardés à la loupe. La faute aux "professionnels" de la sécurité je dirais, les vendeurs de solutions et spécialistes sécurité (intégrateurs, consultants, etc...). En voici les raisons suite à des décennies. Je ne blâme personne en particulier, il se peut que j'ai moi-même aidé ce cercle peu vertueux...Mais voilà ce que je constate depuis une dizaine d'années (1).
1/ D'abord il y a eu les spécialistes firewalls qui sont arrivés avec un discours clair et simple (simpliste?) : Protégez votre réseau des intrusions. Mettez en œuvre une défense périmétrique. => Un firewall.
Alors les consultants en sécurité ont dit. Il vous faut un firewall sinon, aucune sécurité ne pourra être mise en œuvre.
2/ Puis il y a eu les éditeurs d'antivirus qui sont arrivés avec un discours complémentaire : Protégez vos systèmes des codes malveillants. Mettez en œuvre une solution antivirale. => Un antivirus
Alors les consultants en sécurité ont dit. Il vous faut un firewall et un antivirus sinon, aucune sécurité ne pourra être mise en œuvre.
3/ Puis il y a eu les spécialistes IDS qui sont arrivés avec un discours complémentaire : Comment savoir si quelqu'un a pénétré votre réseau après le firewall ? Protégez votre réseau des intrusions. Mettez en œuvre une sonde de détection d'intrusions. => Un IDS
Alors les consultants en sécurité ont dit. Il vous faut un firewall, un antivirus, un IDS sinon, aucune sécurité ne pourra être mise en œuvre.
4/ Puis il y a eu les spécialistes IPS qui sont arrivés avec un discours clair et simple : Savoir que quelqu'un a pénétré votre réseau après le firewall, c'est bien, mais le bloquer, c'est mieux ? Protégez votre réseau des intrusions. Mettez en oeuvre une sonde de préventions d'intrusions. => Un IPS
Alors les consultants en sécurité ont dit. Il vous faut un firewall, un antivirus, un IDS et un IPS sinon, aucune sécurité ne pourra être mise en œuvre.
5/ Puis il y a eu les spécialistes en cryptographie qui sont arrivés avec un discours complémentaire : Protéger votre réseau, c'est bien, mais si tout vos flux passent en clair, n'importe qui peut écouter le trafic ? Protégez vos flux par des mécanismes de chiffrement. Mettez en œuvre une solution de chiffrement. => SSL par exemple
Alors les consultants en sécurité ont dit. Il vous faut un firewall, un antivirus, un IDS et chiffrer vos flux sinon, aucune sécurité ne pourra être mise en œuvre.
6/ Puis il y a eu les spécialistes du développement sécurisé et de la sécurité applicative qui sont arrivés avec un discours complémentaire : Même si tous les flux sont chiffrés, rien n'empêche d'exploiter une faille applicative par un attaquant malveillant ! Protégez vos applications par des solutions dédiées. Mettez en œuvre une solution de filtrage applicatif=> un WAF.
Alors les consultants en sécurité ont dit. Il vous faut un firewall, un antivirus, un IDS, chiffrer vos flux et mettre un WAF sinon, aucune sécurité ne pourra être mise en œuvre.
7/ Puis il y a eu l'essor d'Internet et tout est reparti en double.
Alors les consultants en sécurité ont dit.
Vous ne pouvez pas mettre un seul niveau de firewall vis-à-vis d'Internet !!!! C'est de l'inconscience !!! Il vous faut deux firewalls de marques différentes!!
Vous ne pouvez pas mettre le même antivirus sur les serveurs et les postes de travail !!!!! Et il vous faut aussi un antivirus de flux !! Pour cela, il va vous falloir déchiffrer les flux que vous aviez chiffré !!
Vous ne pouvez pas ne pas mettre SIMPLEMENT un seul firewall, un seul antivirus, un seul IDS, chiffrer vos flux et mettre un seul WAF sinon, aucune sécurité ne pourra être mise en œuvre. Il faut tout doubler !
8/ Puis le métier est revenu avec des exigences légitimes de haute disponibilité des infrastructures. Alors tout est reparti en double.
Alors les consultants en sécurité ont dit.
Vous ne pouvez pas mettre un seul firewall, il vous faut un cluster de firewalls !!!!
De même pour vos équipements réseaux, vos load-balancers, et donc les IPS, les gateways de messagerie, les IPS, les IDS, les WAF, etc.....
Au final, ce fut la course à la surenchère de produits divers et variés (et pour certains avariés). Mais qu'importe, on ne badinait pas avec la sécurité. Oui mais voilà. Au final, on a un peu oublié le besoin réel de sécurité et l'adage principal : "Il n'y a pas de sécurité sans simplicité". De même qu'un système quel qu'il soit ne peut pas être géré s'il est trop complexe, une solution de sécurité doit avant tout être parfaitement maitrisée sous peine d'être pire car elle créera un faux sentiment de sécurité (NDLR : "j'ai un firewall donc je suis protégé, mais je ne me soucie pas des règles déployées, de leur cohérence par rapport à ma politique de sécurité, ni si ce qui est ouvert correspond juste à ce qui a été demandé" et cf illustration ci-dessous).
Notez bien qu'il y a bien ici une porte, qu'un rappel des consignes de sécurité est effectué et qu'elle est fermée.
La conformité aux règles est donc bien assurée ;-)
Maintenant qu'il faut justifier chaque dépense et qu'objectivement aucun produit n'est maitrisée à 100% par les équipes et qu'il faut compter en plus des coûts d'achat des coûts de Professional Services ou d'intégrateurs, la note commence à devenir salée.
Si en 2013 et en ce début d'année on peut encore faire quelques vœux :
<mode DREAM ON>
Je fais celui que l'on se concentre un peu plus sur la sécurité. Pas celle qui nous est vendue, pas celle que l'on présente sous forme de tableaux. La vraie. Celle qui est effective et constatée. Celle qui impose que l'on gère son SI réellement. Cela comprend notamment :
- La gestion des utilisateurs
- La gestion des droits
- La gestion des accès
- La maitrise des outils de sécurisation
- Une gestion claire et simple de la sécurité avec des politiques claires et simples ne laissant pas la place aux interprétations.
- Une utilisation des équipes sécurité sur des sujets....de sécurité.
A titre d'exemple, il ne faut pas dire non de manière basique à un utilisateur, il faut dire oui mais avec des conditions et surtout uniquement si l'on sait gérer. Et on se donne les moyens de gérer si le jeu en vaut la chandelle. Le BYOD : Cela peut être une chance si c'est encadré. Sinon, c'est un gouffre. Car non seulement cela n'apportera aucune plus value business, mais cela ouvrira des portes vers le SI depuis des postes non maitrisés. Certes on le fait sur Internet mais avec des applications limitées et toutes entièrement webisées. On n'ouvre pas des serveurs de fichiers, des applications Mainframe, etc....L'encadrement, cela signifie de bien faire une étude d'opportunité avant tout déploiement. Ne pas prendre de risques, c'est impensable pour assurer les besoins du métier. Prendre des risques, c'est ce que fait un cascadeur, mais c'est calculé. De l'inconscience, c'est ce que fait un illuminé. Il serait bon de simplement ramener un peu de bon sens en sécurité et de se rapprocher d'une approche basée sur les risques avec l'assurance que la sécurité est bien gérée et comprise par l'ensemble des équipes avec un coût en regard des enjeux de sécurité.
Idéalement, il ne faut pas oublier les aspects humains avec ce dessin de XKCD qui juge plutôt bien les coûts (coups ?)
La simplicité dans la sécurité est INDISPENSABLE. Dès le départ on pose des bases saines. On n'en déroge que si cela se justifie et si le coût de mise en œuvre et de sécurisation est compatible avec les gains attendus. Bon allez j'arrête de rêver. On change juste d'année, rien de plus. Mais cela m'a fait du bien..... ;-) <mode DREAM OFF> Dans la Veille, vous pourrez lire :
- Un constat encore affligeant du niveau de sécurité global sur Internet
- Des éditeurs de WAF qui tirent dans le dos des éditeurs d'antivirus
- Des Autorités de certifications qui se sont fait (encore une fois) avoir dans la délivrance d'un certificat
- Une remise en question intéressante pour la réflexion du filtrage DNS
- Une critique qui m'a bien marqué sur la sécurité et la complexité ;-). L'infographie est édifiante.
- Des prévisions qui semblent assez loufoques et des adolescentes effrayantes
- Des banques Suisses dans la panade sur des sujets plutôt embarrassants....Est-ce juste un début ?
Bonne lecture
Tristan
(1) : Bon il y a d'autres domaines que j'ai omis dans ce descriptif (filtrage de codes mobiles, DLP, obligations règlementaires, obligations légales, standards de sécurité, etc...)
==============================================================================================================================================
A LIRE SECURITE
---------------
Global Scans Reveal Internet's Insecurities In 2012
http://www.darkreading.com/security-monitoring/167901086/security/application-security/240145378/global-scans-reveal-internet-s-insecurities-in-2012.html Anti-virus products are rubbish, says Imperva [Attention, on est proche du publi-communiqué]
http://news.hitb.org/content/anti-virus-products-are-rubbish-says-imperva http://www.theregister.co.uk/2013/01/01/anti_virus_is_rubbish/ http://www.imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf Uncovering the Dangers of Network Security Complexity
http://news.hitb.org/content/uncovering-dangers-network-security-complexity http://www.wired.com/insights/2013/01/uncovering-the-dangers-of-network-security-complexity/ http://www.algosec.com/resources/files/Specials/Survey%20files/Network%20Security%20Complexity%20Survey_Infographic.pdf L’Afnic est contre le filtrage DNS, jugé peu efficace
http://www.01net.com/editorial/583395/l-afnic-est-contre-le-filtrage-dns-juge-peu-efficace/ DOSSIERS
--------
INSOLITE
--------
Deux adolescentes droguent leurs parents pour pouvoir surfer plus longtemps
http://www.01net.com/editorial/583385/deux-adolescentes-droguent-leurs-parents-pour-pouvoir-surfer-plus-longtemps/ D’ici 2014, les cybercriminels tueront grâce au réseau
http://www.01net.com/editorial/583289/d-ici-2014-les-cybercriminels-tueront-grace-au-reseau/ UN PETIT GESTE POUR LA PLANETE
------------------------------
FACEBOOK AND SOCIAL NETWORKS
----------------------------
A BOOKMARKER
------------
Toutes les startups franciliennes sur une carte
http://pro.01net.com/editorial/583373/toutes-les-startups-franciliennes-sur-une-carte/ http://paristechlist.fr/all http://francenumerique.ign.fr/ SALONS / CONFERENCES / EVENEMENTS
---------------------------------
CES 2013 : Ubuntu arrive sur smartphone
http://www.01net.com/editorial/583295/ubuntu-arrive-sur-smartphone/ PRODUITS
--------
A win for enterprise as RSA SecurID now available for Windows Phone
http://news.hitb.org/content/win-enterprise-rsa-securid-now-available-windows-phone Speedy 8Gbit, 16Gbit SATA Express systems coming this year
http://news.hitb.org/content/speedy-8gbit-16gbit-sata-express-systems-coming-year BON A SAVOIR
------------
Consulter son smartphone en réunion jugé impoli, même par ceux qui le font
http://www.reseaux-telecoms.net/actualites/lire-consulter-son-smartphone-en-reunion-juge-impoli-meme-par-ceux-qui-le-font-25440.html Un CDN multi-prestataires permet au Nouvel Observateur d'absorber les pics de trafic
http://www.reseaux-telecoms.net/actualites/lire-un-cdn-multi-prestataires-permet-au-nouvel-observateur-d-absorber-les-pics-de-trafic-25437.html La plus ancienne banque suisse met la clef sous la porte
http://www.bfmtv.com/economie/plus-ancienne-banque-suisse-met-clef-porte-417226.html SCIENCES
--------
CONSOMMATION
------------
RACHAT / UNION
--------------
DROIT
-----
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Toutes les startups franciliennes sur une carte
http://pro.01net.com/editorial/583373/toutes-les-startups-franciliennes-sur-une-carte/ http://paristechlist.fr/all http://francenumerique.ign.fr/ 7 Hot Mobile Startups to Watch in 2013
http://news.hitb.org/content/7-hot-mobile-startups-watch-2013 http://www.computerworld.com/s/article/9235228/7_Hot_Mobile_Startups_to_Watch_in_2013 CARRIERE
--------
MICROSOFT
---------
GOOGLE
------
APPLE / IPHONE
--------------
Snapchat, l’appli miracle qui programme la destruction de vos photos
http://www.rue89.com/2013/01/02/snapchat-lappli-miracle-qui-autodetruit-vos-photos-238264 PALM / PRE
----------
FREE
----
Un filtre anti-pub (et surtout anti-Google) activé par défaut dans la Freebox Revolution
http://www.reseaux-telecoms.net/actualites/lire-un-filtre-anti-pub-et-surtout-anti-google-active-par-defaut-dans-la-freebox-revolution-25448.html La fonction antipub de la Freebox provoque une vive polémique
http://www.01net.com/editorial/583343/la-fonction-antipub-de-la-freebox-provoque-une-vive-polemique/ Free: le blocage des publicités devrait être désamorcé dans les jours à venir
http://lexpansion.lexpress.fr/high-tech/free-le-blocage-des-publicites-devrait-etre-desamorce-dans-les-jours-a-venir_367279.html GEEK POWER
----------
LIBRE / OPEN SOURCE
-------------------
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Fraudulent Certificate for Google Domains Found After Mistake by Turkish CA
http://threatpost.com/en_us/blogs/fraudulent-certificate-google-domains-found-after-mistake-turkish-ca-010313 FAILLES
-------
Multiples failles chez plusieurs éditeurs d'antivirus [Classique, du site Web mal configuré et/ou mal sécurisé]
http://www.zataz.com/news/22615/Multiples-failles-chez-plusieurs-editeurs-d_antivirus.html OUTILS
------
Security Onion + (ELSA or Snorby) + CapMe = Awesome
http://taosecurity.blogspot.fr/2013/01/security-onion-elsa-or-snorby-capme.html Tool Aids in Cracking Mysterious Gauss Malware Encryption
http://threatpost.com/en_us/blogs/tool-aids-cracking-mysterious-gauss-malware-encryption-123112 ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml