Ghusse's

La sécurité informatique repose aujourd’hui sur essentiellement un paradigme : l’entreprise est un château fort auquel on ajoute sans cesse de nouveaux murs et de nouvelles douves.

On appelle ça le bastionnage, et c’est un des concepts fondamentaux de la sécurité d’un réseau, d’un système d’information, d’une machine. Le principe est simple : mieux vaut construire deux murs d’un mètre de largeur qu’un seul de deux mètres. Pour la simple raison que si le mur en question contient une faiblesse (une faille), plus rien ne peut stopper ni même ralentir l’assaillant une fois qu’il a identifié le point faible.

Mais derrière ce principe se cache également la notion de bastion, place forte isolée de l’extérieur par des murs d’enceinte. Les accès sont contrôlés puisqu’ils s’effectuent par quelques entrées identifiées, qui peuvent être fermées à la demande (pont levis). Une fois les remparts franchis, la place forte est aux mains d’éventuels ennemis.

Etrange non ? Cette description sied bien à l’informatique d’entreprise. Sauf que le mur d’enceinte entoure désormais le réseau interne, le pont levis est le pare-feu… On construit une zone dite DMZ, à la frontière du bastion mais quand même à l’intérieur d’une première ligne de fortifications. C’est la basse-cour ?

Ce modèle de défense a vite trouvé ses limites lorsque l’artillerie est apparue : les boulets de canon devenant de plus en plus gros, les défenses ne pouvaient résister. C’est là que la comparaison s’arrête avec le modèle actuel, cela ne veut pas dire qu’il ne présente pas de limite. Car il n’existe pas d’outil tellement performant qu’il passe à travers de toutes les protections.

La différence c’est qu’aujourd’hui :

• beaucoup d’ennemis potentiels et inconnus tirent en même temps et en permanence des boulets sur votre forteresse ;
• que vos ennemis ont les plans des remparts, ils peuvent donc viser des faiblesses potentielles ;
• et qu’ils peuvent avoir des agents infiltrés.

La lecture d’un article du monde informatique traitant d’un « nouveau » type de pare-feu m’a fait repenser à cette petite réflexion, menée déjà il y a quelques temps.

Le futur de la sécurité informatique ? Je n’en sais rien, par contre il est certain que le modèle de bastion a vécu. Non pas qu’il faille sortir complètement de ce paradigme, mais qu’il va falloir organiser les choses autrement. Je pense qu’on peut tenir la comparaison entre la sécurité d’un état et d’un système d’information. Peut-être peut-on s’inspirer de l’organisation des états en matière de sécurité pour penser la sécurité informatique de demain.