État des lieux
L’équation du risque est bien connue : des menaces exploitent des vulnérabilités sur des actifs. Mais au fait, comment identifier les actifs ?
Piloter la sécurité par le risque consiste à évaluer chacun des éléments de l’équation du risque. Il est ainsi nécessaire de connaître ses menaces (c’est notamment le marché de la Threat Intelligence), d’identifier ses vulnérabilités et, inévitablement, de connaître les actifs sur lesquels peuvent s’exercer menaces et vulnérabilités ! Et c’est ici le rôle de la cartographie.
Dans sa plus simple expression un outil de cartographie permettra d’explorer automatiquement le réseau afin de détecter les équipements présents (infrastructure, serveurs, imprimantes…) et les clients (postes de travail). Les solutions du marché se basent pour cela sur le protocole SNMP et/ou sur une découverte active plus ou moins intrusive via des protocoles réseaux tels Netbios, TCP, UDP ou encore UPNP.
Le produit final sera une carte statique des équipements repérés sur la branche du réseau sur laquelle était connecté l’outil de cartographie (qu’il faudra donc déplacer – physiquement ou logiquement – pour obtenir une carte complète). C’est déjà utile et de nombreuses entreprises ne disposent pas, aujourd’hui encore, d’une telle cartographie à jour ! Elles s’appuient, au mieux, sur une liste périmée d’adresses et de plages IP compilées il y a plusieurs années.
Afin d’aller plus loin les solutions modernes permettent de visualiser, en temps réel, les flux de communication entre équipements. En superposant les deux vues, il sera alors possible de déterminer, par exemple, que deux actifs sont situés dans des enclaves différentes (vision statique) mais communiquent entre eux malgré tout (vision dynamique).
La politique de sécurité le permet-elle ?
La dernière étape, et non des moindres, consiste à associer ces actifs à une fonction métier et une criticité. Il s’agit d’une tâche méticuleuse mais indispensable, car c’est à partir de cette information qu’il sera possible d’analyser le risque . Comment sinon savoir que tel serveur héberge des données à caractère personnel, ou que tel poste de travail est particulièrement sensible parce qu’il appartient à la R&D ou à un membre du COMEX ? Nous sommes ici dans le domaine des solutions de gestion des actifs, et cela peut être pris en charge de manière complémentaire par la solution de cartographie ou être une solution indépendante.
