1. Besoin de visibilité des flux de données
Jean-Louis Bolteau – ProximIT Ile de France
Jean-louis.bolteau@proximit.fr
2. Le constat :
Beaucoup de réseaux sont exploités dans une logique sécuritaire
minimaliste. On y retrouve systématiquement le trio commun habituel :
le filtrage firewall / DMZ
systèmes d'anti-virus
politique de gestion des droits utilisateurs.
3. La réalité :
Dans ce cadre de mise en œuvre, on peut faire les constats suivants :
Aucune information n’est connue sur les flux réels qui transitent sur le
réseau interne (volume, encapsulation, origine/destination, type, etc.)
La plupart des situations critiques restent inconnues (car bloquées
automatiquement, ou au pire, by-passent les règles de sécurité du réseau
d’entreprise)
Aucun contrôle réel de la validité des barrières mises en place (les règles
sont-elles bien actives ?)
Aucune vision réelle des usages réel du réseau d’entreprise
4. Analogie :
Cette manière de gérer la sécurité pourrait être assimilée à un gardien de
nuit qui ferait sa ronde dans le noir, avec un éclairage uniquement aux
portes d’entrées …
Il serait plutôt judicieux :
d’allumer la lumière dans tous les couloirs
de disposer de détecteurs de présence et/ou de caméra de surveillance
5. La visibilité des flux d’un réseau d’entreprise :
elle doit être simple et concise
elle doit être accessible
elle est doit être compréhensible
par le plus grand nombre d’utilisateurs
elle doit être historisée
6. Expériences – Conseil Général de G. :
Cas découvert chez un de nos clients, détecté en contrôlant les applications
en session avec le réseau public.
Découverte que les règles du firewall était devenues inopérantes.
7. Expériences – Université de A. :
Cas découvert chez TOUS les clients, des flux IPv6 circulent en toute liberté
sur les réseaux des clients …
8. Expériences – Banque L. :
Cas découvert dans une banque :
un scan de port était en action sur
une station de travail (troyen) …
Tout petit volume pour beaucoup
de protocoles (applications)
différents.
9. Autres expériences :
Constructeur auto : détection de services serveur pirate sur un réseau …
Assurances M. : détection de flux de jeux collaboratifs entre PC du réseau
Industriel : détection de borne wifi non autorisée
Mairie de M. : détection de connexions sur des sites internet ne disposant
pas de nom DNS
Conseil Régional de F. : usage de web proxy https Internet pour outre-passer la
sécurité mise en place sur le réseau local …
Banque privée Ch. : détection d’adresse IP qui ne sont pas dans le plan
d’adressage IP de l’entreprise
10. Merci de votre attention …
Jean-Louis Bolteau – ProximIT Ile de France
Jean-louis.bolteau@proximit.fr