11.4.2 Proposition
de stratégies de sécurité réseau
Pour proposer une bonne stratégie de
sécurité, il faut procéder étape par étape
en prenant en compte les éléments suivants :
11.4.2.1 Stratégie des
périmètres de sécurité
Le réseau d'entreprise est découpé en
périmètres de sécurité logiques regroupant des
entités ou fonctions afin de mettre en place des niveaux de
sécurité à la fois imbriqués et
séparés. On définit un périmètre autour du
réseau d'entreprise (intranet) face au réseau Internet. Nous
définissons également des périmètres de
sécurité pour chacun des sous-réseaux inclus dans le
réseau intranet. L'objectif est de compartimenter le réseau et de
créer une imbrication des périmètres de
sécurité afin de rendre plus difficile une
pénétration éventuelle.
Cette stratégie des périmètres de
sécurité doit être couplée avec celle des goulets
d'étranglement, qui vise à mettre en place un nombre
limité de points de contrôle d'accès de ces
périmètres.
11.4.2.2 Stratégie des goulets
d'étranglement
Des contrôles d'accès différenciés
et en nombre limité sont implémentés pour permettre
l'accès à chaque périmètre de
sécurité du réseau de l'entreprise. Les contrôles
d'accès définissent ce qui est autorisé à rentrer
ou à sortir d'un périmètre de sécurité. Nous
partons du postulat que « tout ce qui n'est pas autorisé est
interdit ». Les contrôles d'accès définissent par
ailleurs les conditions à respecter pour avoir le droit d'entrer dans le
périmètre de sécurité.
11.4.2.3 Stratégie
d'authentification en profondeur
Des contrôles d'authentification sont mis en place afin
d'authentifier les accès aux périmètres de
sécurité. Dans cette stratégie, des systèmes de
contrôle d'authentification sont insérés au sein d'un
périmètre de sécurité. Les contrôles
d'authentification des utilisateurs s'effectuent à plusieurs passages,
au niveau de la sortie Internet, où chaque utilisateur doit
s'authentifier pour avoir accès à Internet, mais aussi au niveau
de chaque serveur pour accéder au réseau interne (serveurs de
fichiers, serveurs d'impression, etc.). Chaque fois qu'un utilisateur
s'authentifie, un ticket est créé sur un système
chargé de stocker les traces (logs) afin que le parcours de
l'utilisateur soit connu à tout moment de manière précise.
Cette logique peut être généralisée et
entraîner la création d'une trace pour chaque action de
l'utilisateur sur chaque serveur (création, consultation, modification,
destruction de fichier, impression de document, URL visitée par
l'utilisateur, etc.). On parle dans ce cas de modèle AAA
(Authentication, Authorization, Accounting), autrement dit authentification,
autorisation et comptabilité des événements[8].
La mise en place d'une telle infrastructure est toutefois
lourde et coûteuse.
| 
