Accueil Expert Stockage et sécurité : la mitigation pour réduire le risque, mais où...

Stockage et sécurité : la mitigation pour réduire le risque, mais où s’arrêter ?

R. Austin
Richard Austin

Voici un avis d’expert de Richard Austin qui est membre du Groupe de travail technique de l’association SNIA (Storage Networking Industry Association), un organisme indépendant bien placé pour offrir une expertise approfondie et impartiale sur tous les aspects du stockage.

 

On entend très souvent parler de « sécurité », le mot est fréquemment utilisé, et le moins qu’on puisse dire c’est que c’est un souci partagé de nos jours par toutes les entreprises. D’ailleurs, les dépenses liées à la sécurité représentent entre 7 et 9 % du budget IT total des entreprises, d’après une enquête du SANS Institute en 2016. La plupart des gens s’accordent à dire qu’il vaut mieux en avoir trop que pas assez, mais le véritable problème réside au niveau de l’efficacité de la sécurité et non de la quantité.

Dans l’industrie du stockage, la sécurité n’est pas une chose, mais un état. L’état “de sécurité” existe une fois qu’une entreprise a pu gérer jusqu’à un niveau acceptable – que l’on définit comme étant son seuil de tolérance – tous les risques auxquels elle doit faire face. La protection des données sensibles, par exemple, est la raison principale pour laquelle un budget sécuritaire est nécessaire pour 68 % des entreprises.

Il s’avère qu’une grande partie de la confusion qui règne autour de la sécurité résulte d’un manque de compréhension des éléments qui la caractérisent. Nous avons tous une idée de ce qu’est un risque, le risque existant dans une grande majorité des situations de la vie courante et il semblerait que toutes ces situations aient plusieurs éléments en commun :

      Un risque de perte. En l’occurrence la perte des données de l’entreprise ;

      des solutions pour minimiser le risque (stockage des données sensibles, on-premise, conversion vers le cloud hybride etc.)

      des indicateurs du niveau du risque

Mathématiquement, il serait possible de regrouper ces trois facteurs en une équation qui voudrait que le risque soit déterminé par la taille et la probabilité des pertes, moins les mesures mises en place pour mitiger le risque. Cela revient à dire que plus des mesures de mitigation (atténuation) sont mises en place, plus le risque est réduit. Mais alors, comment savoir où s’arrêter ?

Un seuil de tolérance au risque variable

Les entreprises ont un seuil de tolérance au risque variable – certaines sont très conservatrices et appliquent un seuil de tolérance extrêmement bas. D’autres, comme par exemple une startup dynamique, peuvent avoir un seuil de tolérance bien plus élevé. Toutefois, l’industrie de la sécurité des données a tendance à rechercher la conformité, ce qui signifie mettre en application les recommandations qu’un organisme compétant et responsable (ou du moins on l’espère) juge nécessaire. Mais “sécurité” ne veut pas dire “conformité”, bien que les deux coexistent et même se complètent. L’entreprise conforme est celle ayant respecté l’intégralité des exigences applicables qui figurent sur une liste, tandis que l’entreprise en sécurité, est celle ayant mitige tous les risques majeurs de son environnement, jusqu’à un niveau jugé acceptable.

Pour une entreprise, la gestion du risque signifie l’identification des risques présents dans son environnement et leur gestion pour les réduire autant que possible. Dans l’idéal, il y aurait tout d’abord une évaluation des risques qui aboutirait à une liste détaillée des dits risques, classés en ordre d’importance et qui permettrait de les gérer en mettant en place des mesures de contrôle, les mitigations. Par exemple une entreprise pourrait acheter et installer un pare-feu pour limiter les types de trafic entrant sur les serveurs ; ou acquérir une passerelle de messagerie qui pourrait analyser les e-mails entrant afin de détecter la présence de logiciels malveillants et ainsi de suite. De telles mesures ont un coût aussi bien en termes d’acquisition que d’utilisation, tandis que le budget de l’entreprise, ses ressources de personnel qualifié etc. auront toujours une limite, et c’est pour cette raison qu’il est primordial de mettre en œuvre les mitigations là où elles sauront le mieux réduire les risques. Sachant qu’un risque dépend en grande partie du type d’entreprise et de son environnement particulier, il est difficile de les cibler spécifiquement de manière générale. En revanche, les éléments qui favorisent les risques sont plus simples à cerner. Examinons donc de plus près les aspects qui peuvent augmenter les risques dans un environnement spécifique.

Les menaces utilisent et exploitent les vulnérabilités qui sont les « faiblesses d’un bien ou d’un groupe de biens pouvant faire l’objet d’une menace », (ISO/IEC 27032). Les vulnérabilités les plus courantes sont les incontournables failles logicielles qui occupent une grande partie du temps de nos équipes techniques, ou encore l’exemple de l’employé négligeant qui clique sur un lien dans un e-mail de provenance inconnue ayant pour sujet « Je t’aime ! ».

Une vulnérabilité exploitée déclenche un évènement, c’est-à-dire une « occurrence identifiée d’un système ou d’un réseau, indiquant une brèche possible dans la politique de sécurité de l’information, ou un échec des moyens de protection, ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité », (ISO/IEC 27000). Cet évènement peut bien sur avoir des conséquences nous affectant mais pas forcément, puisque la conséquence souhaitée par l’adversaire pourrait être stoppée par un dispositif tel qu’un anti programme malveillant qui bloquerait l’activation du lien dangereux de l’e-mail « Je t’aime ! ».

Le vecteur de la menace pour comprendre

Le vecteur de la menace est un autre concept utile pour mieux comprendre les vulnérabilités, ou encore vecteur d’attaque qui est défini selon l’ISO par le « chemin ou moyen par lequel un criminel peut accéder à un ordinateur ou à un réseau pour y introduire une menace », (ISO/IEC 27032). Un vecteur de menace représente ce qui relie un agent de menace à une vulnérabilité. Dans l’exemple « Je t’aime ! », l’e-mail agit comme vecteur.

Si la conséquence est assez significative, elle peut engendrer un incident de sécurité, c’est-à-dire « un ou plusieurs Voiciévénement(s) de sécurité de l’information indésirable(s) ou inattendu(s) présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et de menacer la sécurité de l’information », (ISO/IEC 27000). Cela signifie que l’adversaire a probablement atteint son objectif de pénétrer les défenses de l’entreprise.

Bien que ces termes puissent sembler étranges et quelque peu cryptiques, ils constituent une méthode solide pour évaluer la probabilité et l’étendue des pertes. La probabilité dépend directement des menaces et des vulnérabilités (et à quel point il est facile pour une menace d’exploiter une vulnérabilité), tandis que les conséquences mesurent l’étendue des pertes. La gestion du stockage est puissante mais aussi relativement exposée car elle doit rester accessible aux personnes chargées de la gestion de toute l’infrastructure de stockage en interne ou à distance, au personnel d’assistance aux fournisseurs, ainsi qu’aux auditeurs.

Associez à cela la pratique courante de gestion “out-of-band”, c’est-à-dire en mode non opérationnel et à distance, sur un réseau TCP/IP (le protocole pour les transferts de données sur Internet), et cela devient une cible très attrayante pour les adversaires. Et s’il y a bien un domaine dans lequel nos adversaires excellent, c’est bien celui des attaques lancées sur les réseaux TCP/IP. La raison principale et évidente étant que TCP/IP n’est pas un modèle de sécurité et de nombreux spécialistes ont mis à jour des failles qui permettent aux hackeurs de s’introduire frauduleusement dans les machines des autres. Le monde virtuel n’étant pas bien diffèrent du monde réel, nous y trouvons bien évidemment, des cambrioleurs, des voyeurs, des casseurs, avec toutes les nuisances que ça laisse supposer.

Tous ces éléments constituent des risques importants pour les sociétés, et doivent impérativement être mitigés, et pour cela, il faut que chaque société étudie ses propres failles afin de prévoir une solution adaptée à ses besoins et à ses attentes en matière de sécurité. L’histoire nous enseigne qu’une civilisation, pour garder la maîtrise de son destin, doit se donner les moyens de sa sécurité. Cela s’applique également aux sociétés.