La défense en profondeur est une technique de sécurité efficace qui consiste à mettre en place plusieurs niveaux de sécurité pour empêcher l’accès aux zones sensibles d’un réseau informatique. Elle est souvent utilisée en complément de la sécurité périmétrique pour renforcer la sécurité globale du réseau.
Qu’est-ce que le principe de défense en profondeur?
La défense en profondeur est une stratégie militaire consistant à retarder l’avance de l’ennemi en s’appuyant sur une série d’obstacles successifs placés à différentes distances les uns des autres.
Ce concept de défense en profondeur a été reprit dans le domaine de la cybersécurité et l’informatique pour illustrer les défenses successives d’un système informatique en mimétisme des stratégies militaires.
Le principe aussi bien militaire qu’informatique de la défense en profondeur consiste à avoir plusieurs niveaux de défenses face à une attaque. Chaque niveau est une barrière à franchir avant de pouvoir atteindre le niveau suivant, on parle de succession de barrières défensives. On peut citer les défenses du système Vauban en France qui protège efficacement différentes villes françaises. Citons St Malo protégé par 5 forts Vauban, la citadelle et ses enceintes de Besançon, la place forte de Mont Dauphin.
La défense en profondeur pour la cybersécurité du Cloud chez DigDeo
La défense en profondeur pour la cybersécurité du Cloud est présente pour tous nos clients chez DigDeo. Toutes les installations bénéficient d’une conformité continue appliquant les règles des normes ISO-27001, Hébergement de Données de Santé (HDS) et toute la partie logicielle de PCI-DSS. Ces règles sont vérifiées régulièrement pour valider la conformité continue des installations.
Ce service présent dans toutes nos offres d’infogérance, offre une protection contre les attaques externes et internes, les infections par malware, les fuites de données et les violations de la vie privée.
La défense en profondeur appliquée à la cybersécurité en informatique, une technique de sécurité efficace contre les accidents.
La défense en profondeur est une technique de sécurité qui consiste à mettre en place plusieurs niveaux de protection contre les accidents. Cette technique est particulièrement efficace car elle permet de détecter et d’éviter les incidents informatiques avant qu’ils ne se produisent.
Périmètre de défense de l’architecture réseau
La sécurisation en profondeur de l’architecture réseau consiste à limiter les accès et segmenter les composants critiques entre eux. Une des premières étapes va consister à isoler dans différents réseaux les utilisateurs, certains types de services entre eux, certains groupes applicatifs. Pour pouvoir communiquer entre eux, ils vont devoir impérativement repasser par un firewall central qui limitera fortement les actions entre ces sous réseaux.
On va alors parler de DMZ multiples, de systèmes de bastions d’accès, de tunnels VPN, d’IDS IPS pour la détection et la réponse aux intrusions.
Le principe de base à garder en tête c’est « Et si l’attaquant avait pris la main sur ce composant? ». Avec cette question en tête on peut imagner, tester les prochaines cibles qui se présenteraient à lui et bloquer les éléments sensibles.
Périmètre de défense des composants systèmes
Pour défendre les systèmes, il faut agir du kernel jusqu’à l’application délivrée. Le principe est de bloquer toute action non nécessaire à chaque couche du système. Par cette approche minimaliste on limite et complexifie fortement les attaques.
Voici pour chaque couche d’un système informatique, les sécurités possibles, sans qu’elles ne soient exhaustives :
- kernel : suppression des modules inutiles (carte son, ports usb, système de fichier exotiques, …)
- réseau : limitation IP, firewall, bind interface, ACLs, …
- logiciels : supression ou très forte limitation des outils de développement, environnement virtuels pour Python / NodeJS, segmentation des services, restrictions accès système, configuration avancées des services, …
- applications : pas d’accès par défaut, activation forcée du 2FA, chiffrement avec salage des mots de passe, utilisation de variables d’environnement, …
La défense en profondeur appliquée aux systèmes d’information selon l’ANSSI
La défense en profondeur (DEP) est une stratégie de sécurité qui consiste à mettre en œuvre plusieurs barrières de sécurité pour empêcher ou limiter la propagation d’une menace. Cette stratégie est définie par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) dans son guide « Sécurité des systèmes d’information – Bonnes pratiques pour mettre en œuvre une DEP ».
L’ANSSI met également à disposition un guide d’hygiène informatique qui dicte des règles simples à modérées pour les établissements étatiques et privés mais qui pourra guider des utilisateurs individuels.
Ce guide d’hygiène préconise 42 règles informatiques essentielles pour assurer la sécurité d’un système d’information. Il liste les moyens pour le mettre en oeuvre et les outils pratiques préconisés.
Défense en profondeur en anglais se dit Defense in Depth ou Security Hardening
La défense en profondeur en anglais se dit Defense in Depth mais depuis quelques années le terme de « Security Hardening » qui insiste plus sur le renforcement profond de la sécurité.
Néanmoins peu importe le terme vous l’aurez compris le plus important est de bloquer et freiner toute compromission / attaques avec plusieurs couches de sécurité. Avec comme seul but la non compromission de données sensibles. Les applications web étant particulièrement exposées à ces attaques par l’exposition à Internet, un focus particulier doit tre mis en place pour sécuriser d’une part cette installation mais également la sécuriser vis à vis du système d’information de l’organisation.
Quelle est la première couche du concept de défense en profondeur ?
Le concept de défense en profondeur implique la mise en place de plusieurs couches de défense, de manière à ce que si une couche est breachée, les autres puissent empêcher l’adversaire d’atteindre ses objectifs. La première couche de défense est la plus proche de l’objectif à défendre, et elle est généralement composée de barrières physiques tels que des murs et des portes pour les constructions militaires. Pour l’informatique on va défendre les accès Internet, mettre des firewall, des WAF (Web Application Firewall).
Quels sont les 3 niveaux de défense en profondeur mis en œuvre dans une analyse de sûreté ?
Les 3 niveaux de défense en profondeur sont : la défense physique, la défense technique et la défense humaine. La défense physique est la première ligne de défense et elle consiste à empêcher les intrus d’accéder à la zone à protéger. La défense technique vise à détecter et à identifier les intrus, et à les empêcher d’accéder aux informations ou aux systèmes sensibles. La défense humaine vise à sensibiliser et à former les individus afin qu’ils soient conscients des risques et qu’ils puissent contribuer à la protection des biens et des informations.
Ces trois niveaux fonctionnent ensemble, la défense physique d’un datacenter ne sera rien si la technique est faillible. La défense technique d’une infrastructure pour une application web ne sera rien si aucun moyen n’est mis sur l’organisation de ligne de défense pour les utilisateurs si ces derniers ont des malwares sur les postes d’administration.
Chaque ligne de défense devient une couche de sécurité dans l’organisation intrinsèquement liée aux autres. C’est cet ensemble cohérent qui définit le domaine de la sûreté de l’ensemble.
Quelles sont les étapes de la défense en profondeur dans le bon ordre ?
La défense en profondeur doit se mettre en place en pensant aux 3 niveaux de défense vu précédemment.
Si la défense physique et technique sont les premières à être traitées, il est au contraire fondamental de démarrer par la défense humaine avec une question : quel seront les sécurités qu’un attaquant aimerait faire supprimer depuis un poste utilisateur interne ou faire faire à un utilisateur malveillant? En partant de cette question, l’approche de la sécurité n’est plus pris sous le même angle on envisage d’abord la faille interne et on met une approche centrée sur la faiblesse humaine pour renforcer le domaine de la sûreté.
Défense en profondeur exemple du nucléaire
La défense en profondeur appliqué au domaine de la sûreté nucléaire est un bon exemple de ces mécanismes appliqués à un complex industriel ou militaire.
Dans le civil en prenant comme exemple les centrales nucléaires, la première défense est physique avec des zones d’accès restreintes, contrôlées, interdites de survol (avion, hélicoptère, drone) avec des filtrages d’accès et dans certains cas de défense militaire en cas de risque terroriste fort.
La deuxième couche de défense vient de tous les mécanismes automatiques ou manuels pour les exploitants qui permettent de garantir une sécurité active face aux menaces externes : procédure d’arret d’urgence, groupe électrogène pour les pompes, régulation de la chambre nucléaire du réacteur, …
La troisième couche vient du filtrage à l’embauche, le suivi et la traçabilité des actions du personnel, de l’isolation forte des systèmes informatiques empêchant par exemple l’usage de clef usb venant du monde extérieur, …
