e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


Il y a pleines de choses dans la vie qu'on fait depuis longtemps, sans se poser la question du POURQUOI !! Et quand on se la pose, on se rend compte souvent, que soit on pouvait ne pas perdre aussi de temps dans ça, soit on aurait dû les faire autrement depuis le début

En sécurité, c'est la même chose.
En entend souvent des conseils du genre : mettez un Firewall et un IDS, achetez ce type d'antivirus et pas l'autre, utilisez Linux et pas Windows ... du technique pur et dur !!

Or, tout ça n'est qu'un détail et n'est nullement la finalité ... ça doit être juste la conséquence des questions fondamentales de sécurité que tout le monde devra se poser ... avec un crayon et un bout de papier.

Pour moi, il y a 3 questions fondamentales auxquelles on devra répondre avant toute chose :

Question 1 : Je veux protéger quoi ?

Et ben c'est facile me diriez-vous : Je veux sécuriser mon réseau, mes systèmes, mes applications, mes données ... je veux sécuriser tout !!!

Avec cette réponse, vous n'irez pas loin, pire, vous allez vous faire trouer en moins d'une journée.
Pensez-y pour quelques heures et trouvez une réponse plus précise.

Dans votre réflexion, prenez le temps de revoir des choses que vous considérez comme évidentes :
- Quel est mon business ou celui de ma boite ?
- Quelles sont les choses importantes qui font marcher ce business (biens ou actifs) ?
- Est-ce que je peux donner des priorité ou une classification de l'importance de ces choses là ?
- Que ce que je vais perdre "réellement" si j'ai un problème avec une de ces choses ?

Et en fonction de votre business, posez vous la question s'il y a des lois qui vous obligent à assurer ou prendre certaines mesures, concernant un ou plusieurs des actifs trouvés avant.

Je sais, c'est chiant, mais croyez-moi, c'est la phase la plus importante dans une démarche de sécurisation d'un système d'information, même un petit cybercafé... ça vous évitera de perdre des journées dans l'installation d'une solution de sécurité complexe ... mais dont vous n'aurez jamais besoin ... et oublier en passant de mettre des trucs plus élémentaires, mais indispensable pour votre cas.

En ayant les réponses à ces questions, vous aurez le "contrôle" de vos futurs actions et choix techniques ... ce n'est plus le fournisseur ou la mode HighTech qui décidera ... mais vous ... après bien sûr le boss, le financier et leurs secrétaires :)

Question 2 : Je veux les protéger contre qui ?

C'est bien beau de mettre des protections sur toutes les choses importantes qu'on a, mais imaginez que vous vivez dans un désert ... vous le ferez toujours de la même manière ?

On doit connaître nos adversaires et ennemis ... ces méchants enfoirés débiles malsains assoiffés prétentieux malades qui veulent du mal à un gentil garçon comme nous :)

Et là aussi, prenez le temps nécessaire pour y réfléchir sérieusement.
- Sont-ils les script kiddies qui pullulent sur le Net ?
- Sont-ils des curieux qui veulent tester des trucs mais qui ne vous ciblent pas spécialement ?
- Sont-ils des geeks qui viennent de se rendre compte que la terre est ronde et veulent utiliser votre cas pour le prouver sur les forums et autres canaux IRC ?
- Sont-ils des journalistes ou investigateurs obscures ?
- Sont-ils des concurrents ?
- Sont-ils des collègues en interne, voulant se venger du Boss .. de vous l'abominable personne qui les prive de chater de 08h à 16h ?
- Si vous avez un business illégal, sont-ils les policiers et gendarmes ? ... ben quoi, même un criminel à le droit de se protéger ... et c'est au forces de l'ordre de faire leur boulot :)
- Sont-ils des organisations criminelles, des agences de renseignement étrangères ou la NSA ? si vous êtes dans ce cas de figure ... retournez vous coucher et laisser les choses se faire toutes seules :)

Vous voyez, on n'a pas le même genre de menaces ... et par conséquent, il n y aura pas les mêmes types de protections.

Globalement, vous pouvez les classer en 3 catégories : Débutants - Connaisseurs - Experts.

Ici, ça vous servira pour contrer les débutants et rendre la vie difficile à une grande partie des connaisseurs. Pour le reste ... il faut débourser un petit peu pour s'offrir les services des professionnels ... mais vous n'aurais pas à commencer de zéro.

Question 3 : A quel prix ?

Maintenant, vous devez savoir quel est votre budget, financier et en temps à consacrer.
En fait, ceci sera le résultat de votre performance en expliquant au Boss et autres managers les détails des réponses des premières questions : quoi et contre qui.


Dans le prochain billet on mettra un petit scénario pour voir concrètement ce que donne tout ce discours.
Vous pouvez laisser des commentaires ou m'envoyer directement un mail à "salahnadir" sur gmail pour proposer un cas de figure comme scénario pour la suite des billets.


.

.

6 commentaires

  1. ktalgerie  

    On se lasse pas de te lire.

    Bon, je propose un cas de figure.

    Nous somme une confédération national disant de personnes influentes dans le commerce et nous avons une dizaine de PC sur un réseau ainsi qu'une connexion wimax, qui arrive sur un serveur linux !

    NB: les PC proviennent d'un très très gentils don, d'une communauté étrangère qui veut absolument aider les pme pmi algérienne sans aucunes contre partie.

  2. SecDZ - Salah Nadir  

    @Karim: ton cas de figure tombe dans la catégorie "complot étranger" :)

    Je sens que ceci est bien réel ... et une suite de billets ne va pas améliorer les choses !

    Maintenant si l'administrateur veut ça, on verra ... ne me dit pas que c'est toi :)

  3. martani  
    Ce commentaire a été supprimé par l'auteur.
  4. SecDZ - Salah Nadir  

    @martani: oui exact, ils sont externes, mais très différents en termes de compétences et par conséquent de degré de nuisance.

  5. tixxdz  

    pour le 2) Je veux les protéger contre qui ?
    et bien comme tu le dis: plusieurs couches ... ça commence par le petit bit calculé par l'un des processeurs (vous n'avez pas le contrôle), par le petit signal téléphonique ... bref tous ce que vous ne contrôlez pas. Faut pas oublier que de nos jours chaque élément (élément électronique ou ... etc) à son propre processeur, alors "retournez vous coucher et laisser les choses se faire toutes seules :)" tant que vous n'avez pas le contrôle.

  6. SecDZ - Salah Nadir  

    @tixxdz: Oui, tout l'environnement est source de menaces ... avec des éléments que ne nous contrôlons nullement. Mais ces éléments ne peuvent être exploités et manipulés que par la 3ème catégorie des menaces... on est proche du réseau Echelon !

    Le champs d'étude de mes billets ne traitera pas ce genre de cas de figure.

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)