Étiquette : Sécurité des systèmes d’information

La Sécurité des systèmes d’information – SSI, est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l’utilisation non autorisée, le mauvais usage, la modification ou le détournement du système d’information.

Assurer la Sécurité des systèmes d’information – SSI est une activité du management du système d’information.

Cool ! 😎

Amies lectrices et amis lecteurs, si vous vous sentez concernés par cette situation, que ce soit dans ce cadre professionnel particulier ou ailleurs, surtout ne culpabilisez pas, cela arrive à tout le monde, quel qu’en soit le domaine :

L’informatique ne déroge pas à la règle, les apparences y sont souvent plus que trompeuses.

Positivez !
À la fin de cet article, vous serez prévenus.

Voici donc, par l’exemple, un cas très concret facilement généralisable, car trop souvent rencontré.

Soit un utilisateur informatique sans aucune connaissance particulière en dehors de ce que peut raisonnablement prétendre la majorité des aficionados de ce type d’outil.
Notons que décliner le raisonnement au féminin fonctionne également.

Il souhaite améliorer son portail web, en cherchant comme tout à chacun à obtenir le meilleur rapport qualité/prix.
Son budget n’est pas extensible.
Il s’est fixé des limites, et espère légitimement un retour sur investissement dans son activité quotidienne.
Cette situation peut s’appliquer dans un cadre privé commercial, artisanal, ou bénévole, mais aussi institutionnel via l’attribution de marchés.
Jusque là, finalement, rien d’anormal à signaler.

Étant un minimum sérieux, de bonne fois, il sonde les consultants visibles, disponibles, les classe selon leurs tarifs et prestations.
Bref, il réalise simplement une étude de marché.

Après réflexions, il finit par porter son choix sur un profil strict, à l’entête très lisse enrichie d’un portrait avenant tiré à quatre épingles, mettant en avant toute une série de postes aux statuts prestigieux, une collection de certifications et diplômes impressionnante.

Il passe commande, signe le contrat.
La prestation est réalisée, et durant celle-ci, il pose légitiment des questions auxquelles les réponses fournies d’une voix forte, ferme et assurée lui procurent réconfort.

Tout va bien.

Un autre jour, par hasard, l’utilisateur fait la rencontre d’un autre spécialiste du domaine.
Les échanges sont d’abord amicaux et, inévitablement, le sujet de la prestation est abordé.

L’utilisateur la décrit à l’homme en sweat à capuche, d’apparence juvénile, au langage imagé et à la tonalité enjouée, à la limite de l’archétype du geek baba cool.
Mais tout devient étrangement désagréable pour lui.
Il se voit opposé aux arguments de l’homme en costard, repris pourtant mots pour mots, toute une série de boutades et d’explications tellement enfantines, qu’il en vient à ignorer progressivement son interlocuteur.

Inévitablement, il pense :
« Comment une personne vêtue de manière si décontractée, peut-elle se permettre un tel comportement, alors qu’il ne me facture même pas ses conseils et qu’il passe si peu de temps à m’écouter ? »

Puis un jour, c’est le drame !

Dans la tourmente, les malheurs se succédant en rafales, l’utilisateur constate avec effroi son impuissance.

Il se souvient cependant des remarques jugées sur le moment si désobligeantes.

Pris dans le tourbillon, il se résout à appeler le second spécialiste.

Ce dernier, s’avérant finalement peu rancunier, intervient rapidement, et, en un éclair, rétablit convenablement la situation.

L’utilisateur reste coi.
Tout ouï, à défaut d’avoir bu la tasse, ce sont les paroles de l’homme providentiel qui le submergent.

La contrepartie consentie est totalement dérisoire en comparaison de ce qui a été déboursé auparavant.
Une quinzaine de jours plus tard, le véritable expert, comme promis, revient sur les lieux, s’assure de l’acquisition des bonnes pratiques, et clôture son intervention autour d’un petit moment convivial.

Là encore, rien d’exceptionnellement onéreux est attendu, si ce n’est la promesse faite d’assurer spontanément une campagne promotionnelle via le bouche-à-oreille.

Que peut-on conclure ?

En dehors du phénomène bien connu en psychologie décrivant l’Humour comme mécanisme de défense naturel, avec déduction faite que les remarques désobligeantes ont été effectivement la retranscription de mises en doute des compétences réelles, le biais des apparences est démontré .

Un style trop lisse, de belles paroles, des titres ronflants, et l’idée communément acquise que ce qui est payé vaut toujours plus que ce qui ne l’est pas, restent le mal de ce siècle … et du précédent.

Un véritable expert n’aura jamais besoin de tous ces artifices pour exister.
Il maîtrise assez son sujet pour pouvoir se permettre quelques fantaisies.

Il est assez rigoureux, travailleur et expérimenté pour développer sa philosophie épicurienne.
Il s’en contente largement pour pouvoir vivre librement.
Et profiter de petits moments de plaisir.

Deux grands penseurs ont repris en cœur :
« Quand le monde entier te persécute, tu te dois de persécuter le monde ! »

Hakuna Matata

Si vis pacem,
para bellum

Dans un autre article, a été démontrée l’importance de se créer une « boîte aux lettres fantôme » en premier rideau défensif de ce qui a été imagée comme une sorte de « Citadelle Vauban » informatique.

Nous allons maintenant décrire plus en détails quelques concepts en lien avec la mise en place de cette fortification.

Pour qu’une architecture soit véritablement solide, pour rappel, l’ensemble doit être facilement maintenu, donc maintenable structurellement, soit peu coûteux en terme d’entretien et, ce qui peut sembler paradoxal, nécessiter une supervision faiblement chronophage.

En effet, les attaques informatiques peuvent être aussi soudaines (profitant souvent de mises à jour en défaut, voire pire, loupées) que longues, ou suivant une succession de vagues.
Passer toutes ses journées à observer l’ennemi s’avère particulièrement harassant, si l’on est particulièrement paranoïaque et que l’on ne possède pas le professionnalisme d’effectifs compétents permanents ayant pour fonction d’effectuer ces tâches ingrates.

Comment assurer alors un service de Qualité à moindre coût ?

En laissant les assaillants agir !

Comme dans toute fortification digne de ce nom, qui dit premier rideau, dit que d’autres mécanismes de protections sont en place derrière celui-ci.

Le bon sens veut qu’il ne soit vraiment pas très sage de préciser leurs particularités et, plus encore, leur ordre d’agencement.

Il faudrait être complètement cinglé pour en arriver à avouer ces stratagèmes défensifs, même sous les douleurs atroces de la torture.

Les serveurs « Pots de Miels » en sont de bons exemples.
Les stratégies liées consistent aussi bien à maquiller un serveur fonctionnant sous Système d’Exploitation spécial pour qu’il ait extérieurement l’aspect d’un autre plus commun, que d’orienter l’ennemi, salivant devant de fausses données, vers un serveur paramétré dans le but de littéralement l’engluer au point qu’il ne puisse plus nier ses frauduleux méfaits.

Dans le cadre de Machines Zombies, utilisées lors d’attaques massives, l’intérêt consiste à réaliser une liste noire des contaminés pour éventuellement remonter jusqu’au marionnettiste lâchement camouflé derrière la horde barbare.

Mais le plus important est, qu’à partir du moment où l’agresseur parvient à franchir l’obstacle initial, il se retrouve à la merci de tout un arsenal dissimulé en amont.
Coincé entre deux rambardes, il ne dispose que de très peu de temps pour réagir, s’organiser convenablement, tout en se protégeant, dans le but de poursuivre son offensive.

Et c’est alors qu’un autre principe, si cher au Grand Maître Chinois, Sun Tzu, décrit dans son ouvrage, « L’Art de La Guerre », entre en piste :

La Légitime Défense

« Œil pour œil. Dent pour dent », plus connu sous le nom de Loi du Talion.

Jusqu’à ce que Peacemaker … La paix soit faite.

🎼🎵 🎶 Lien vers une page YouTube Wig Wam – Do Wanna Taste It

SOS « Boîte Fantôme »

Dans les couloirs obscurs où règnent les ténèbres d’Internet, rôdent de vilains spectres à la recherche de vos données personnelles sensibles.

Du fin fond des catacombes, geôles à la foi froides et moites, les cris stridents de terreur des prisonniers s’élèvent.
Effroyablement, ils engendrent peurs et craintes chez tous les habitants des demeures seigneuriales.

Ils sont là.

Ils n’attendent qu’une petite erreur d’inattention pour mettre la main sur vos plus beaux trésors.

Ce sont leurs précieux.
Ils les aiment.
Ils en raffolent.

Tant de valeurs à monétiser aux plus offrants.
Tous ces châtelains et châtelaines à infiltrer pour mieux les dépouiller ou faire chanter sous les balcons de barons sans scrupule.

Brrr !!!

Dès lors, comment se protéger face à tous ces indésirables intrus ?

Alors, très clairement, faire appel à des chasseurs armés en tenue de protection de laboratoire, équipés des lances Neutrona Wand Plasma du Dr Egon Spengler, ne servira pas à grand chose … à moins de tenir à avoir l’air ridicule.

Il existe des moyens plus simples et efficaces pour notamment sécuriser sa boîte aux lettres électronique.

En effet, il s’agit bien de créer une « boîte aux lettres fantôme ».

Sur le même principe que le château fort moyenâgeux alsacien en illustration de cet article (ou de son voisin émergeant à peine de la brume), une bonne protection consiste à entourer sa boîte avec l’équivalent de fortifications circulaires sur plusieurs niveaux, et d’en contrôler de manières rigoureuses tous les points d’entrée permettant de franchir trop facilement ces barrages.
Et pour que l’ensemble soit soutenable dans le temps, s’assurer d’une maintenance peu contraignante.

Le premier point d’entrée du dispositif de sécurité sera obligatoirement l’adresse mail qui indiquera aux assaillants le nom de l’hébergeur, mais surtout, les serveurs de stockage dédiés.

Ne vous y trompez pas, vous n’aurez jamais totalement le contrôle de ces derniers.
Il vous est donc absolument nécessaire de vous rendre indépendant de leurs architectures.

Ce point d’entrée distant correspondra finalement au premier rideau défensif de votre toute nouvelle « citadelle Vauban ».
Elle reste utile, car vous pourrez y ajuster les paramètres de filtrage des courriels entrants, les précieux « alias », ou toutes autres options pertinentes pour votre défense.

Mais, en aucun cas, vous ne devez y stocker et archiver votre historique de messagerie.

Elle deviendra ainsi, effectivement, une sorte de « boîte fantôme ».

Et, à la manière des très tristement célèbres sociétés écrans pullulant dans les paradis fiscaux, n’y transiteront que les courriers courants, qui disparaitront comme par magie après chaque relevée.
À la différence notable toutefois que cette manœuvre est parfaitement légale et autorisée.

Il existe des outils très pratiques et faciles d’emploi, pour peu que l’on s’y intéresse, dans l’univers des logiciels libres.
Ils vous permettront de mettre en place ces techniques dites « de rebond ».

Ainsi, mécaniquement, vos données si importantes à vos yeux, s’envoleront ailleurs, quelque part, suivant plusieurs chemins que vous aurez pris soin de bien tracer.
Ce beau voyage les mènera jusqu’aux coffres forts finaux, là où personne ne sera en mesure de les atteindre, de les détruire, de les monnayer …

Après, pour encore reprendre une métaphore alsacienne, vous avez toujours le choix de construire une « ligne Maginot ».
Ne vous étonnez pas, dans ces conditions, si les attaquants contournent le dispositif en passant par la Belgique (même si nos amis belges n’y sont absolument pour rien).

Accessoirement, vous vous rendrez agréablement compte que tout ceci a un impact écologique nettement moindre que l’ensemble des data-centers mobilisés jusqu’alors.

Pourquoi s’en priver ?

🎼🎵 🎶 Lien vers une page YouTube Ray Parker Jr. – Ghostbusters

🤙🏽 📞 ☎️  Contacter SOSi.expert 🚨 👻

Support pédagogique SOSi
Urbanisation & Interopérabilité

SOSi Site conçu par Patrick Millan