L'authentification htaccess








télécharger 132.71 Kb.
titreL'authentification htaccess
page4/4
date de publication05.12.2018
taille132.71 Kb.
typeDocumentos
p.21-bal.com > loi > Documentos
1   2   3   4
Defense Intelligence Agency (DIA) a créé l'Orange Book. Ce document propose 7 classes de fonctionnalités, ce qui nous donne dans l'ordre croissant D, C1, C2, B1, B2, B3, A1.
A chacun de ces niveaux correspondent des fonctionnalités à respecter.
Certains concepteurs de systèmes d'exploitation aiment à définir le niveau de sécurité que ceux-ci respectent grâce à ces classes de fonctionnalités. On trouve ainsi que le système NT 3.5 est à la norme C2, ce résultat est à relativiser car ce niveau n'est atteint que grâce à une configuration matérielle bien particulière (système coupé du réseau, pas de lecteur de disquettes) et que le système Solaris B2-compliant de SUN est au niveau B2, sans aucune contrainte.


Présentation de chaque niveau de fonctionnalité


Le niveau de sécurité D

Il correspond à un niveau de sécurité minimal, ce qui veut dire aucune contrainte, on y retrouve le système DOS.

Le niveau de sécurité C1

Il correspond à un niveau de protection discrétionnaire. C'est à dire que l'on assure la séparation des utilisateurs et des données avec la notion de sujet et d'objet, que l'on contrôle l'accès aux informations privées et que les utilisateurs coopèrent sur le même niveau de sensibilité.

Le niveau de sécurité C2

Ce niveau offre un accès contrôlé. C'est à dire que l'on affine le contrôle d'accès, au moyen du login et de l'audit. De plus, on sépare les ressources à protéger.
Le passage de la classe C (protection discrétionnaire) à la classe B (protection mandataire) se fait par le biais de la labellisation des données.

Le niveau de sécurité B1

Il offre ainsi une protection par labellisation. On a donc une politique de sécurité associée au marquage des données et au contrôle obligatoire des sujets et des objets.

Le niveau de sécurité B2

Pour atteindre ce niveau dit "Protection Structurée", il faut renforcer le contrôle d'accès, ne pas disposer de canaux cachés, avoir une authentification renforcée, avoir des contraintes accrues de gestion et de contrôle de la configuration ainsi que disposer d'une TCB (Trusted Computing Base) fondée sur un modèle défini et documenté.

Le niveau de sécurité B3

C'est le niveau de " domaine de sécurité ", il faut obligatoirement un administrateur de sécurité, un audit accru et la TCB intervient lors de tout accès de sujet à objet, doit résister à l'intrusion et doit pouvoir être analysée et testée.

Le niveau de sécurité A1

Ce niveau est celui dit de "conception vérifiée". Comme son nom l'indique, il impose d'avoir une FTLS (Formal Top Level Specification) pour la conception de la TCB et du modèle. Il impose en plus des contraintes sur la gestion de la configuration et un administrateur de sécurité et du système distinct.

Réalisation d'un système TRUSTED (à haute sécurité)

Pour réaliser un système TRUSTED, on se base généralement sur la norme F-B1 de l'ITSEC (Critères d'évaluation de la sécurité des systèmes informatiques), norme elle-même dérivée des exigences fonctionnelles de la classe B1 du TCSEC (Trusted Computer System Evaluation Criteria) américain. Cette classe de fonctionnalité impose l'utilisation du contrôle d'accès discrétionnaire, introduisant en plus des fonctions de contrôle d'accès par mandat à tous les sujets et à tous les objets de stockage sous son contrôle. Il est aussi possible d'attribuer un label aux informations exportées.

Les systèmes de classe de fonctionnalité F-B1 sont plus sécurisés que ceux de classe F-C2 qui n'impose que l'identification du sujet, la possibilité de restreindre les actions du sujet à la lecture et à l'observation et à restreindre la transmission des droits à un groupe de sujets.

Pour en savoir plus sur le sujet nous vous suggérons d'aller lire : Le Compartemented Mode Workstation.


Principes de sécurité informatique et évolution du marché.


Introduction
On retrouve actuellement trop souvent des architectures de sécurité axées uniquement sur la prévention et la défense de périmètre. Il y a bien d'autres éléments qui doivent composer une architecture de sécurité. Toute architecture de sécurité (et plus globalement l'approche même de la sécurité) doit selon moi reposer sur un triptyque tel que :

  • Prévention

  • Détection

  • Réaction

Ces trois aspects sont pour le moment très diversement couverts par le marché malgré une nécessité indéniable.


Prévention
La prévention est fondamentale et est généralement bien appréhendée par le plus grand nombre. Le principe : faire tout ce qu'il faut pour se protéger. Elle consiste le plus souvent à adopter la démarche suivante :

  1. Analyse des risques

  2. Définition d'une politique de sécurité

  3. Mise en œuvre d'une solution centrée sur un ou plusieurs firewalls.

  4. Audit de la solution

  5. Mises à jour

Le marché à ce jour couvre très bien cette approche : les cabinets de conseils sont très présents sur l'analyse des risques. Les Intégrateurs proposent et mettent place des solutions à tour de bras. Des sociétés se spécialisent dans la réalisation d'audits de sécurité, d'autres effectuent de la veille technologique en sécurité et permettent de déclencher les mises à jour (généralement effectuées par l'intégrateur).


Détection
Le principe est d'être capable de détecter lorsque les mesures de prévention sont prises en défaut. La détection, même si certains outils techniques existent, est encore trop rarement intégrée aux infrastructures. Il est vrai que les intégrateurs proposent souvent ces outils lors de la mise en place d'infrastructures de connexion Internet ; mais leur déploiement reste marginal en dehors de ces projets spécifiques. De plus, à l'heure actuelle un cruel défaut de compétence est à déplorer. Il y à encore trop peu de personnes formées à ce type d'outils. La détection exige un suivi permanent de l'état des système à protéger et des mécanismes de diffusion des alertes générées.


Réaction
S'il est important de savoir qu'une attaque est en cours ou qu'une attaque a réussi il est encore plus important de se donner les moyens de réagir à cet état de fait. C'est l'aspect le plus négligé actuellement même au sein des acteurs majeurs de la sécurité Informatique. Pourtant, il n'est pas possible d'oublier les credo de tous les consultants en analyse de risque : " le risque zéro n'existe pas " ou encore " il n'y a pas de sécurité absolue ". Il faudrait donc toujours prévoir et se préparer au pire. Cela implique la mise en œuvre de procédures d'exploitation spécifiques à la réaction en cas d'attaque, la rédaction et le test d'un plan de continuité Informatique à utiliser en cas de sinistre grave. Il est également primordial de se doter des outils permettant d'une part de collecter toutes les informations pouvant être nécessaires en cas de recours juridique. Un cadre doit aussi être prévu au niveau des responsabilités ; de ce fait les contrats d'assurance devront prendre en compte le risque représenté par les pirates. Le marché couvre très mal cet aspect à l'heure actuelle. Il n'existe que très peu de sociétés proposant une offre réelle en investigation d'incidents. Par ailleurs, même si certains cabinets de juristes se spécialisent dans le droit de l'Internet, la couverture du risque Informatique et la définition des " éléments de preuve " dans les affaires de crimes informatiques restent encore floues.


Conclusion
La prise en compte des problématiques de sécurité est en cours en France actuellement dans une vaste majorité d'entreprises mais pour l'heure les moyens mis en œuvre ne sont pas toujours suffisants. Afin de supporter les entreprises dans leur processus de sécurisation, le marché, en forte croissance, s'est d'abord structuré dans le domaine de la Prévention. Néanmoins, de très nombreuses questions restent encore sans réponse dès lors qu'il s'agit de Détection et de Réaction. Ces deux domaines qui touchent à l'exploitation au quotidien (ou encore opération) des infrastructures de sécurité sont encore pleins de promesses mais aussi sources d'inquiétude pour les différents acteurs de la sécurité informatique.
1   2   3   4

similaire:

L\Arttrust, la solution de certification et d'authentification des œuvres d'Art








Tous droits réservés. Copyright © 2016
contacts
p.21-bal.com