Les entreprises désireuses d'optimiser la disponibilité de leurs systèmes et données peuvent prendre des mesures extraordinaires pour limiter, voire éliminer toute perte de données. L'objectif est ici de réduire les interruptions des processus essentiels. Si les employés ne sont pas en mesure de réaliser leurs tâches habituelles, l'entreprise risque de voir son chiffre d'affaires diminuer.
Les entreprises mesurent la disponibilité sous la forme d'un pourcentage du temps de bon fonctionnement. La première partie dans cet article est consacrée au « concept des cinq neuf ». Dans de nombreux secteurs, il est vital de respecter les normes les plus strictes en matière de disponibilité, dans la mesure où une interruption peut signer la mort de l'entreprise.
Cet article traite des diverses méthodes que les entreprises peuvent appliquer pour atteindre leurs objectifs en termes de disponibilité. La redondance ne fournit pas seulement une fonctionnalité de sauvegarde. Elle intègre également des composants supplémentaires pour permettre aux ordinateurs ou aux systèmes de réseaux de garantir la disponibilité continue des systèmes. Les composants redondants peuvent être de type matériel (disques durs, serveurs, commutateurs et routeurs) ou logiciel (systèmes d'exploitation, applications et bases de données). Cet article traite également de la résilience, c'est-à-dire de la capacité d'un serveur, réseau ou data center à se rétablir rapidement et à poursuivre son activité.
Les entreprises doivent être prêtes à répondre à un incident en instaurant des procédures qu'elles doivent suivre après un événement. Cet article se termine par une discussion sur la reprise après un sinistre et la planification de la continuité de l'activité, deux facteurs essentiels pour garantir la disponibilité des ressources d'une entreprise.
En quoi consiste le concept des cinq neuf ?
L'expression cinq neuf signifie que les systèmes et les services sont disponibles 99,999 % du temps. Elle signifie également que les interruptions planifiées et non planifiées représentent moins de 5,26 minutes par an. Le graphique illustré ici permet de comparer les interruptions observées pour divers pourcentages de disponibilité.
La haute disponibilité fait référence à un système ou un composant qui est opérationnel sans interruption sur une période donnée. Pour assurer la haute disponibilité il est important de :
Préserver une haute disponibilité conformément au standard des cinq neuf peut s'avérer coûteux et consommer de nombreuses ressources. L'augmentation des coûts est due à l'achat de matériel supplémentaire, tel que des serveurs et des composants. De plus, plus une entreprise ajoute de composants, plus cela augmente la complexité de la configuration et, partant, les facteurs de risque. Plus le nombre de pièces est important, plus la probabilité de panne est grande au niveau des composants.
Environnements qui exigent les cinq neuf
Même si préserver la haute disponibilité peut être coûteux dans certains secteurs, plusieurs environnements ont besoin d'atteindre ces 99,999 %.
Les menaces qui pèsent sur la disponibilité
Les menaces suivantes font peser un risque élevé sur la disponibilité des données et des informations :
Catégoriser le niveau d'impact de chaque menace permet à une entreprise d'évaluer son impact financier.
La haute disponibilité intègre trois principes majeurs pour garantir un accès ininterrompu aux données et aux services :
Il est important de bien comprendre les différentes méthodes de résolution d'un point de défaillance unique. Un point de défaillance unique peut être un commutateur ou un routeur central, un service réseau et même un membre hautement qualifié du personnel informatique. Le fait est qu'un événement affectant le système, le processus ou la personne peut perturber gravement l'ensemble du système. Il est donc essentiel de disposer de processus, de ressources et de composants qui réduisent les points de défaillance uniques. Pour garantir la redondance, une méthode consiste à utiliser des clusters à haute disponibilité. Ces clusters se composent d'un groupe d'ordinateurs ayant accès au même stockage partagé et présentant des configurations réseau identiques. Tous les serveurs participent simultanément au traitement d'un service. De l'extérieur, le groupe de serveurs apparaît comme un seul appareil. En cas de défaillance d'un serveur du cluster, les autres serveurs continuent de traiter le même service.
La résilience d'un système est sa capacité à maintenir la disponibilité des données et des processus opérationnels malgré une attaque ou un événement perturbateur. En règle générale, cela n'est possible qu'en utilisant des systèmes redondants, tant sur le plan de l'alimentation que du traitement, de sorte que si un système tombe en panne, l'autre puisse prendre le relais sans interruption du service. La résilience d'un système va au-delà du renforcement des appareils. En effet, cela exige que les données et les services restent disponibles alors même que le système subit l'attaque.
La tolérance de panne permet à un système de continuer à fonctionner en cas de défaillance d'un ou plusieurs composants. L'émulation des données est un exemple de tolérance de panne. Si une défaillance se produit, entraînant par là même une perturbation au niveau d'un appareil tel qu'un contrôleur de disque, le système en miroir fournit les données demandées sans que l'utilisateur constate la moindre interruption du service.
Identification de la ressource
Avant de savoir quels doivent être les paramètres de configuration, une entreprise doit savoir quels sont le matériel et le logiciel présents. La gestion des ressources implique un inventaire complet du matériel et des logiciels.
L'entreprise doit connaître tous les composants qui peuvent courir des risques en matière de sécurité, notamment :
Une entreprise peut opter pour une solution automatisée pour effectuer le suivi des ressources. Un administrateur doit examiner tout changement de configuration, car cela peut signifier que la configuration n'est pas à jour ou bien que quelqu'un effectue des modifications non autorisées.
La classification des ressources regroupe toutes les ressources d'une entreprise sur la base de caractéristiques communes. Une entreprise doit mettre en place un système de classification des ressources (documents, dossiers de données, fichiers de données et disques). Les informations essentielles doivent se voir attribuer le niveau de protection le plus élevé, voire faire l'objet d'un traitement spécial.
Une entreprise peut adopter un système de marquage en fonction de l'importance, de la confidentialité ou du caractère « critique » des informations. Suivez la procédure ci-dessous pour identifier et classer les ressources d'une entreprise :
Pour plus d'informations sur ces procédures, reportez-vous à l'illustration.
Le gouvernement des États-Unis, par exemple, utilise le critère de confidentialité pour classer les données comme suit : top secret, secret, confidentiel, d'intérêt public et non classé.
La gestion des ressources porte sur le cycle de vie et l'inventaire des ressources technologiques, y compris les appareils et les logiciels. Dans le cadre d'un système de gestion des ressources informatiques, l'entreprise indique les ressources qui répondent à ses objectifs. Cette pratique réduit effectivement le nombre de types de ressources. Ainsi, une entreprise n'installera que les applications qui respectent ses directives. En éliminant les applications non conformes, les administrateurs contribuent à une réelle amélioration de la sécurité.
Les standards relatifs aux ressources identifient les produits matériels et logiciels spécifiques qu'une entreprise utilise et prend en charge. Lorsqu'une défaillance survient, une action rapide permet de maintenir en conditions opérationnelles l'accès et la sécurité. Si une entreprise ne standardise pas sa procédure de sélection de matériel, il se peut que le personnel éprouve quelques difficultés à trouver un composant de rechange. Outre des coûts de maintenance et d'inventaire plus élevés, la gestion des environnements non standard requiert des compétences plus poussées.
Identification des menaces
L'United States Computer Emergency Readiness Team (US-CERT) et le département de la Sécurité intérieure des États-Unis (United States Department of Homeland Security) sont les promoteurs d'un dictionnaire des vulnérabilités et expositions courantes (CVE). Ce dictionnaire contient un identifiant standard accompagné d'une brève description, ainsi que de références aux avis et rapports de vulnérabilités. L'organisme MITRE assure la gestion de la liste CVE et de son site web public.
La procédure d'identification des menaces commence par la création d'un identifiant CVE pour les vulnérabilités de cybersécurité connues du public. Chaque identifiant CVE comprend les éléments suivants :
Analyse des risques
L'analyse des risques est un processus qui consiste à analyser les dangers que représentent les événements d'origine humaine et naturelle pour les ressources d'une entreprise.
Un utilisateur identifie les ressources pour savoir lesquelles protéger. Les objectifs de l'analyse des risques sont au nombre de quatre :
On peut envisager l'analyse des risques selon deux approches différentes :
Analyse des risques quantitative
Dans ce cas, des numéros sont attribués au processus d'analyse des risques. La valeur de la ressource correspond à son coût de remplacement. La valeur d'une ressource peut également être mesurée à l'aune des revenus générés par son utilisation. Le facteur d'exposition (EF) est une valeur subjective exprimée sous la forme d'un pourcentage de la valeur perdue par une ressource en raison d'une menace donnée. En cas de perte totale, le facteur d'exposition est égal à 1 (100 %). Dans l'exemple d'analyse des risques quantitative, la valeur de ressource du serveur est de 15 000 $. Une panne du serveur entraîne une perte totale (EF = 1). Si l'on multiple la valeur de ressource de 15 000 $ par le facteur d'exposition 1, on obtient une estimation de perte unique de 15 000 $.
Le taux annualisé d'occurrence (ARO) est la probabilité qu'une perte se produise dans l'année (cette valeur est également exprimée sous la forme d'un pourcentage). Une valeur ARO peut être supérieure à 100 % si une perte peut survenir plusieurs fois par an.
Le calcul de l'estimation des pertes annuelles (ALE) donne des indications aux responsables quant aux dépenses à prévoir pour la protection de la ressource.
Analyse des risques qualitative
L'analyse des risques qualitative se base sur des opinions et des scénarios. Par exemple, il se peut qu'une panne du serveur soit probable, mais que son impact ne soit que minime.
Une équipe évalue chaque menace qui pèse sur une ressource et la représente sous forme graphique dans le tableau. Elle classe les résultats et les utilise comme référence. Elle peut choisir de prendre des mesures uniquement sur les menaces qui sont situées dans la zone rouge.
Les nombres utilisés dans le tableau n'ont pas de rapport direct avec un aspect de l'analyse. Ainsi, un impact catastrophique de 4 n'est pas deux fois plus important qu'un impact minime de 2. Cette méthode est subjective par nature.
Atténuation
L'atténuation des risques consiste à réduire la gravité de la perte ou la probabilité que cet événement survienne. De nombreux contrôles techniques réduisent les risques, comme les systèmes d'authentification, les autorisations de fichiers et les pare-feu. L'entreprise et les professionnels de la sécurité doivent être conscients que l'atténuation des risques peut avoir des effets positifs et négatifs sur l'entreprise. Une atténuation des risques efficace trouve l'équilibre entre, d'une part, les effets négatifs des contre-mesures et des contrôles et, d'autre part, les bénéfices associés à la réduction des risques. Quatre méthodes sont souvent utilisées pour réduire les risques :
Une stratégie à court terme consiste à accepter les risques, ce qui nécessite l'élaboration de plans d'urgence. Les utilisateurs et les entreprises doivent accepter les risques au quotidien. Les technologies modernes réduisent les risques en développant des logiciels de manière incrémentielle, et en fournissant des mises à jour et des correctifs pour remédier aux vulnérabilités et aux erreurs de configurations.
Externaliser des services, souscrire une assurance ou souscrire un contrat de maintenance sont quelques exemples de transfert de risques. Confier l'exécution des tâches essentielles à des spécialistes afin de réduire les risques peut s'avérer judicieux. Cela peut, en outre, donner de meilleurs résultats avec un investissement moindre à long terme. Un plan de réduction des risques efficace peut inclure plusieurs stratégies.
Opter pour une protection avancée ne garantit pas à l'entreprise que son système de défense sera impénétrable. Cependant, cela l'aide à réduire les risques en gardant une longueur d'avance sur les cybercriminels.
Si un seul moyen de défense est mis en place pour protéger les données et les informations, il suffira aux cybercriminels de contourner un seul obstacle. Pour être sûre que les données et informations restent disponibles, l'entreprise doit créer plusieurs couches de protection.
Cette approche est celle qui offre la protection la plus complète. Si les cybercriminels parviennent à pénétrer un niveau, ils doivent encore faire face à plusieurs autres couches, chacune d'elles étant plus complexe que la précédente.
Les diverses couches créent une barrière de protections multiples qui se coordonnent pour éviter les attaques. Une entreprise peut, par exemple, stocker ses documents top secret sur un serveur installé dans un bâtiment entouré d'une barrière électronique.
Limiter l'accès aux données et informations réduit les risques de subir une attaque. Il est conseillé aux entreprises de restreindre l'accès aux utilisateurs et de ne leur permettre que d'accéder aux ressources dont ils ont besoin pour accomplir leur mission. Par exemple, les membres du service marketing n'ont pas besoin d'avoir accès aux documents de paie dans le cadre de leur mission.
L'application de solutions technologiques, telles que l'utilisation d'autorisations de fichiers, est un moyen de limiter l'accès ; une entreprise doit également instaurer des mesures procédurales. Il est nécessaire de mettre en place une procédure pour interdire à un employé de supprimer des documents sensibles sur site.
Si toutes les couches protégées étaient identiques, il serait aisé pour les cybercriminels de mener à bien leur attaque. Par conséquent, elles doivent être différentes. Si les cybercriminels pénètrent une couche, la même technique ne fonctionnera pas pour toutes les autres. Une attaque qui touche une seule couche de sécurité ne compromet pas l'intégralité du système. Une entreprise peut utiliser divers algorithmes de chiffrement ou systèmes d'authentification afin de protéger les données à différents états.
Pour mettre en place une solution diversifiée, les entreprises peuvent utiliser des produits de sécurité conçus par différentes sociétés en vue d'une authentification multifacteur. Par exemple, le serveur contenant les documents top secret se trouve dans une salle fermée, dont l'accès est protégé par un système de carte magnétique et une solution d'authentification biométrique fournis par deux sociétés différentes.
La méthode de dissimulation permet également de protéger les données et les informations. Une entreprise ne doit pas dévoiler d'informations que les cybercriminels peuvent utiliser pour déterminer le système d'exploitation qu'un serveur exécute ou le type d'équipement qu'il utilise. Par exemple, les messages d'erreur ne doivent contenir aucune information que les cybercriminels pourraient utiliser pour déterminer les vulnérabilités existantes. En masquant certains types d'informations, vous compliquez singulièrement la tâche des cybercriminels qui envisagent de pirater un système.
La complexité n'est pas nécessairement un gage de sécurité. Le déploiement de systèmes difficiles à faire fonctionner et à dépanner peut, en réalité, se retourner contre l'entreprise qui les met en place. Si les employés ne savent pas comment configurer correctement des systèmes complexes, compromettre leur sécurité peut être un jeu d'enfant pour les cybercriminels. Pour maintenir la disponibilité des systèmes, une solution de sécurité doit être simple à l'intérieur, mais complexe à l'extérieur.
Un point de défaillance unique constitue une opération critique au sein de l'entreprise. D'autres opérations peuvent en dépendre et la défaillance met un terme à cette opération essentielle. Un point de défaillance unique peut être un composant matériel spécial, un processus, une donnée spécifique, voire un service essentiel. Les points de défaillance uniques sont les liens faibles de la chaîne qui peuvent perturber l'activité de l'entreprise. Généralement, en cas de point de défaillance unique, la solution consiste à modifier l'activité critique de façon qu'elle ne s'appuie pas sur un seul élément. L'entreprise peut également intégrer dans l'opération critique des composants redondants qui prendront le relais du processus en cas de défaillance de l'un de ces points.
La redondance N+1 garantit la disponibilité du système en cas de défaillance d'un composant. Les composants (N) doivent comporter au moins un composant de secours (+1). C'est le cas, par exemple, d'une voiture à quatre roues (N) disposant d'une roue de secours dans le coffre en cas de crevaison (+1).
Dans un data center, la redondance N+1 signifie que la conception du système peut résister à la perte d'un composant. Le « N » fait référence aux divers éléments qui composent le data center (serveurs, alimentations, commutateurs, et routeurs). Le « +1 » désigne un composant ou système supplémentaire, prêt à être utilisé en cas de besoin.
Un exemple de redondance N+1 au sein d'un data center est un générateur d'électricité qui s'active lorsque le bloc d'alimentation principal connaît un problème. Bien qu'un système N+1 se compose de matériel redondant, il ne s'agit pas d'un système entièrement redondant.
RAID
La technologie RAID (Redundant Array of Independent Disks) regroupe plusieurs disques durs physiques au sein d'une seule unité logique afin de fournir une redondance de données et d'améliorer les performances. Le système RAID prend les données normalement stockées sur un seul disque et les répartit sur plusieurs disques. Si l'un des disques est défaillant, l'utilisateur peut récupérer les données à partir des autres disques sur lesquels elles résident également.
Le système RAID permet également d'accélérer la récupération des données. L'utilisation de plusieurs lecteurs permet de récupérer les données demandées plus rapidement que si la tâche était effectuée avec un seul disque.
Une solution RAID peut reposer sur le matériel ou le logiciel. Une solution matérielle nécessite l'utilisation d'un contrôleur matériel spécialisé sur le système qui contient les disques RAID. Les termes suivants expliquent comment le système RAID stocke les données sur les différents disques :
Spanning Tree
La redondance améliore la disponibilité de l'infrastructure en supprimant le risque de points de défaillance uniques dans un réseau ; par exemple, une panne d'un commutateur ou d'un câble du réseau. L'établissement d'une redondance physique dans un réseau entraîne l'apparition de boucles et de trames en double. Ceux-ci ont des conséquences désastreuses pour un réseau commuté.
Le protocole STP (Spanning Tree Protocol) permet de résoudre ces problèmes. La fonction de base de STP est d'empêcher les boucles dans un réseau lorsque plusieurs chemins connectent les commutateurs entre eux. STP garantit que les liaisons physiques redondantes sont dépourvues de boucles. Il permet qu'il n'y ait qu'un seul chemin logique entre toutes les destinations du réseau. STP bloque intentionnellement les chemins d'accès redondants susceptibles d'engendrer une boucle.
Le blocage des chemins redondants est essentiel pour empêcher la formation de boucles sur le réseau. Les chemins physiques sont préservés pour assurer la redondance, mais STP les désactive afin d'empêcher la création de boucles. En cas de défaillance d'un commutateur ou d'un câble réseau, le protocole STP recalcule les chemins et débloque les ports nécessaires pour autoriser l'activation du chemin redondant.
La passerelle par défaut est généralement le routeur, qui assure l'accès des appareils au reste du réseau ou à Internet. Si un seul routeur sert de passerelle par défaut, il constitue un point de défaillance unique. L'entreprise peut choisir d'installer un routeur de secours supplémentaire.
La capacité d'un réseau à effectuer une reprise dynamique après la défaillance d'un périphérique jouant le rôle de passerelle par défaut est appelée « redondance au premier saut ».
Options de redondance du routeur
La liste suivante indique les options disponibles pour la redondance de routeur en fonction du protocole qui définit la communication entre les appareils réseau :
Redondance d'emplacements
Une entreprise peut, dans certains cas, envisager la mise en œuvre de la redondance d'emplacements. Vous trouverez, ci-dessous, trois formes de redondance d'emplacements.
Synchrone
Réplication asynchrone
Réplication ponctuelle
L'option la mieux adaptée à l'entreprise dépendra du bon compromis entre coût et disponibilité.
La résilience regroupe les méthodes et configurations utilisées pour rendre un système ou un réseau tolérant aux pannes. Par exemple, un réseau peut disposer de liaisons redondantes entre des commutateurs exécutant le protocole STP. Bien que le protocole STP fournisse un autre chemin sur le réseau en cas de défaillance d'une liaison, il se peut que le basculement ne soit pas immédiat si la configuration n'est pas optimale.
Les protocoles de routage offrent également une résilience, mais un réglage précis peut améliorer le basculement, de telle sorte que cette opération passe inaperçue pour les utilisateurs du réseau. Les administrateurs doivent essayer des configurations personnalisées dans un réseau de test afin de déterminer si elles permettent d'améliorer les délais de rétablissement.
La redondance ne suffit pas pour parvenir à une conception résiliente. Il est essentiel de bien comprendre les besoins de l'entreprise, puis d'intégrer la redondance afin de créer un réseau résilient.
La résilience d'application désigne la capacité d'une application à répondre aux problèmes de l'un de ses composants, tout en continuant à fonctionner. Une interruption est due aux pannes causées par des erreurs d'application ou des défaillances d'infrastructure. Un administrateur devra, en définitive, arrêter les applications pour appliquer des correctifs, installer des mises à niveau ou déployer de nouvelles fonctionnalités. L'interruption peut également être le résultat d'une altération de données, d'une panne d'équipement, d'une erreur d'application ou encore d'une erreur humaine.
De nombreuses entreprises s'efforcent de trouver le bon compromis entre les coûts liés à la résilience de l'infrastructure applicative et ceux liés à la perte de clients ou d'opportunités commerciales en raison d'une défaillance d'application. La haute disponibilité des applications s'avère à la fois complexe et coûteuse. L'augmentation du facteur de disponibilité de chaque solution s'accompagne d'une hausse des coûts et de la complexité.
Le système d'exploitation IOS (Interwork Operating System) pour les routeurs et commutateurs Cisco intègre une fonctionnalité de configuration résiliente. Elle permet une récupération plus rapide à la suite d'un reformatage malveillant ou accidentel de la mémoire flash ou d'une suppression du fichier de configuration initiale. Cette fonctionnalité gère une copie de travail sécurisée du fichier image IOS du routeur et une copie du fichier de configuration en cours. L'utilisateur ne peut pas supprimer ces fichiers sécurisés, connus également sous le nom de bootset principal.
Les commandes illustrées ici sécurisent l'image IOS et le fichier de configuration en cours.
Préparation
La gestion des incidents désigne les procédures suivies par une entreprise à la suite d'un événement en dehors de la plage de fonctionnement normale. Une violation de données divulgue des informations dans un environnement non sécurisé. Cela peut se produire à la suite d'un acte accidentel ou intentionnel. Une violation de données se produit lorsqu'une personne non autorisée accède à des informations sensibles, les copie, les transmet, les consulte ou les vole.
Lorsqu'un incident se produit, l'entreprise doit savoir comment y répondre. Une entreprise doit élaborer un plan de gestion des incidents et mettre sur pied une équipe CSIRT (Computer Security Incident Response Team) pour gérer la réponse. Cette équipe effectue les opérations suivantes :
L'équipe CSIRT peut être un groupe existant au sein de l'entreprise ou un groupe constitué à cet effet. L'équipe CSIRT suit un ensemble d'étapes prédéfinies pour s'assurer que l'approche adoptée est uniforme et qu'aucune étape n'est ignorée. Les équipes CSIRT nationales supervisent la gestion des incidents à l'échelle d'un pays.
Détection et analyse
La détection commence lorsque quelqu'un découvre l'incident. Les entreprises peuvent s'équiper des systèmes de détection les plus sophistiqués, mais si les administrateurs ne consultent pas les journaux et ne surveillent pas les alertes, ces systèmes ne servent à rien. Une détection appropriée doit indiquer non seulement la manière dont l'incident s'est produit, mais aussi les données et les systèmes concernés. La violation est transmise aux cadres supérieurs et aux responsables des données et systèmes afin de les impliquer dans le processus de correction et de réparation. La détection et l'analyse comprennent les étapes suivantes :
L'analyse des incidents permet d'identifier la source, l'étendue, les conséquences et les détails de la violation des données. Le cas échéant, l'entreprise peut décider de faire appel à une équipe d'experts pour mener l'enquête.
Les opérations de confinement comprennent les actions effectuées immédiatement, comme déconnecter un système du réseau afin de stopper la fuite d'informations.
Après avoir identifié la faille, l'entreprise doit la contenir et l'éliminer. Cela peut se traduire par une interruption supplémentaire pour les systèmes. La phase de reprise comprend les mesures que l'entreprise doit prendre pour remédier à la violation et rétablir le fonctionnement des systèmes concernés. Une fois la correction appliquée, l'entreprise doit rétablir tous les systèmes dans l'état dans lequel ils se trouvaient avant la faille.
Suivi après incident
Une fois le fonctionnement normal rétabli, l'entreprise doit examiner la cause de l'incident et se poser les questions suivantes :
Une analyse des enseignements tirés de cet événement peut aider l'entreprise à mieux se préparer en améliorant son plan de gestion des incidents.
L'objectif du contrôle de l'accès au réseau (NAC) est de permettre aux utilisateurs autorisés disposant de systèmes conformes d'accéder au réseau. Un système conforme satisfait à toutes les exigences de la politique de l'entreprise. Par exemple, il se peut qu'un ordinateur portable faisant partie d'un réseau domestique sans fil ne puisse pas se connecter à distance au réseau d'entreprise. Le contrôle de l'accès au réseau évalue un appareil entrant par rapport aux politiques du réseau. Il met également en quarantaine les systèmes non conformes et gère l'élimination de ces systèmes.
Un cadre NAC peut utiliser l'infrastructure de réseau et les logiciels tiers existants pour appliquer la conformité avec la politique de sécurité à l'ensemble des terminaux. Une appliance NAC peut, tour à tour, contrôler l'accès réseau, évaluer la conformité et appliquer la politique de sécurité. Les vérifications courantes des systèmes NAC sont les suivantes :
Systèmes de détection d'intrusions
Les systèmes de détection d'intrusion (IDS) surveillent passivement le trafic sur un réseau. L'illustration montre un périphérique compatible IDS copiant le flux de trafic et analysant le trafic ainsi copié plutôt que les paquets réels transmis. Travaillant hors ligne, il compare le flux de trafic capturé avec les signatures malveillantes connues, comme un logiciel d'analyse antivirus. Travailler hors ligne a plusieurs significations :
Le mode passif signifie que le système IDS surveille le trafic et génère des rapports à son sujet. Il ne prend aucune mesure. C'est la définition d'un fonctionnement en mode de proximité.
En cas de fonctionnement avec une copie du trafic, le système IDS n'a pas d'incidence négative sur le flux de paquets du trafic transféré. Il s'agit là du principal avantage de cette méthode. En revanche, il est impossible pour le système IDS de bloquer les attaques à un seul paquet avant qu'elles atteignent leur cible. Pour répondre à une attaque, le système IDS a généralement besoin de l'aide d'autres appareils réseau, tels que des routeurs et des pare-feu.
Une meilleure solution consiste à utiliser un appareil capable de détecter et de bloquer immédiatement une attaque. C'est précisément ce que fait un système de prévention des intrusions (IPS).
L'IPS repose sur la technologie IDS. Toutefois, un appareil IPS fonctionne en mode inline. Cela signifie que tout le trafic entrant et sortant doit transiter par celui-ci. L'illustration montre qu'un système de protection contre les intrusions (IPS) ne permet pas aux paquets de pénétrer à l'intérieur du réseau « de confiance », à moins qu'ils aient été analysés. Il est capable de détecter et de remédier immédiatement aux problèmes du réseau.
Un système de protection contre les intrusions surveille le trafic réseau. Il analyse le contenu et la charge utile des paquets à la recherche d'attaques intégrées plus sophistiquées susceptibles de contenir des données malveillantes. Certains systèmes utilisent une combinaison de technologies de détection d'intrusions ; détection basée sur l'analyse des protocoles, sur les profils ou encore sur les signatures. Cette analyse plus approfondie leur permet d'identifier, d'arrêter et de bloquer les attaques qui franchiraient les limites d'un pare-feu classique. Lorsqu'un paquet entre par une interface sur un système de protection contre les intrusions, l'interface de sortie ou approuvée ne le reçoit pas tant qu'il n'a pas été analysé.
L'avantage du mode inline est que le système IPS peut empêcher les attaques à un seul paquet d'atteindre le système cible. En revanche, si le système IPS est mal configuré, cela peut avoir une incidence négative sur le flux de paquets du trafic transféré.
La principale différence entre les systèmes IDS et IPS est la suivante : alors que le système IPS agit immédiatement et bloque le trafic malveillant, le système IDS le laisse passer avant de résoudre le problème.
NetFlow est une technologie Cisco IOS qui fournit des statistiques sur les paquets traversant un routeur ou un commutateur multicouche Cisco. NetFlow est la norme pour la collecte de données opérationnelles à partir de réseaux L'IETF (Internet Engineering Task Force) s'est appuyé sur NetFlow Version 9 de Cisco pour l'exportation des informations du flux IP (IP Flow Information Export - IPFIX).
IPFIX est un format standard conçu pour exporter, vers des appareils de collecte de données, des informations basées sur le routeur concernant les flux de trafic réseau. IPFIX fonctionne sur les routeurs et applications de gestion qui prennent en charge le protocole. Les gestionnaires réseau peuvent exporter les informations relatives au trafic réseau à partir d'un routeur et les utiliser dans le but d'optimiser les performances du réseau.
Threat Intelligence avancées
Les threat intelligence avancées peuvent aider les entreprises à détecter une cyberattaque pendant l'une des phases de l'attaque et parfois même avant qu'elle ne survienne.
Les entreprises peuvent repérer les alertes de sécurité suivantes dans les journaux et rapports système afin de détecter les indicateurs d'attaque :
Les threat intelligence avancées sont des données de profil et d'événement qui peuvent contribuer à améliorer les activités de sécurité et les réponses à apporter en cas d'attaque. Face à la sophistication des techniques employées par les cybercriminels, il est important de comprendre les pratiques malveillantes mises en œuvre. Une entreprise qui bénéficie d'une meilleure visibilité des méthodes d'attaque pourra réagir plus rapidement face aux incidents.
Types de sinistres
Il est essentiel que les activités de l'entreprise continuent lorsqu'un sinistre se produit. Les sinistres comprennent tous les événements naturels ou provoqués par l'homme qui endommagent les ressources ou les biens et nuisent à la capacité de l'entreprise de poursuivre son activité.
Catastrophes naturelles
Les catastrophes naturelles varient en fonction de la situation géographique. Certains de ces événements sont difficiles à prévoir. On classe les catastrophes naturelles dans les catégories suivantes :
Catastrophes d'origine humaine
Les catastrophes d'origine humaine impliquent des personnes ou des entreprises. On les classe dans les catégories suivantes :
Plan de reprise après sinistre
L'entreprise met en action son plan de reprise après sinistre (DRP) alors que la catastrophe est en cours et que les employés s'efforcent de maintenir les systèmes critiques en activité. Ce plan comprend les mesures prises par l'entreprise pour évaluer, récupérer, réparer et restaurer les installations ou les biens endommagés.
Pour créer le plan de reprise après sinistre, vous devez répondre aux questions suivantes :
Un plan de reprise après sinistre doit identifier les processus les plus critiques au sein de l'entreprise. Lors du processus de récupération, l'entreprise rétablit d'abord ses systèmes essentiels.
Mise en œuvre des contrôles de reprise après sinistre
Les contrôles de reprise après sinistre réduisent les effets d'un sinistre afin de garantir le rétablissement des ressources et des processus de l'entreprise.
Dans le domaine informatique, il existe trois types de contrôles de reprise après sinistre :
La continuité de l'activité est l'un des concepts les plus importants dans le domaine de la sécurité informatique. Même si les entreprises mettent tout en œuvre pour prévenir les sinistres et la perte de données, il est impossible de tout prévoir. Pour les entreprises, il est essentiel de mettre en place des plans garantissant la continuité de l'activité, quels que soient les événements qui surviennent. Un plan de continuité de l'activité est plus vaste qu'un plan de reprise après sinistre, dans la mesure où il prévoit le transfert des systèmes critiques sur un autre site pendant la réparation des installations d'origine. Le personnel continue à effectuer tous les processus commerciaux d'une autre manière jusqu'au rétablissement des conditions normales.
La disponibilité signifie que les ressources nécessaires au bon fonctionnement de l'entreprise resteront disponibles pour le personnel et pour les systèmes qui en dépendent.
Éléments à prendre en compte pour la continuité de l'activité
Les contrôles de continuité de l'activité ne se limitent pas à la sauvegarde de données et à la mise à disposition de matériel redondant. Les entreprises ont besoin que les employés configurent et utilisent correctement les systèmes. Les données peuvent être inutiles jusqu'à ce qu'elles fournissent des informations. L'entreprise doit prêter une attention particulière aux points suivants :
Comme le montre cette illustration, l'Institut national des normes et de la technologie (NIST) a développé les bonnes pratiques suivantes :
Pour ajouter un commentaire ici, vous devez être inscrit. Si vous êtes déjà inscrit, connectez-vous. Dans le cas contraire, inscrivez-vous puis connectez-vous.
La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.
Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :