Avec du temps, des ressources et de la motivation, un pirate peut rentrer dans pratiquement n'importe quel syst�me. � la fin, toutes les proc�dures et les technologies de s�curit� actuellement disponibles ne peuvent pas vous garantir que vos syst�mes sont prot�g�s contre les intrusions. Les routeurs peuvent aider � s�curiser les passerelles vers l'internet. Les pare-feu peuvent aider � s�curiser les bords du r�seau. Les r�seaux priv�s virtuels peuvent transmettre vos donn�es en toute s�curit� dans un flux crypt�. Les syst�mes de d�tection d'intrusions peuvent vous pr�venir de toute activit� malveillante. Cependant, la r�ussite de chacune de ces technologies d�pend d'un certain nombre de variables, y compris�:
Vu l'�tat dynamique des technologies et des syst�mes de donn�es, la s�curisation de vos ressources d'entreprise peut devenir complexe. � cause de cette complexit�, il est souvent difficile de trouver des ressources sp�cialis�es pour tous vos syst�mes. Alors qu'il est possible d'avoir un personnel avec des connaissances de haut niveau dans de nombreux domaines de la s�curit� de l'information, il est plus difficile de garder les employ�s qui sont sp�cialistes dans plus de quelques sujets. Cela vient principalement du fait que chaque sujet en s�curit� de l'information demande une attention et une concentration constantes. La s�curit� de l'information ne reste pas en place.
8.1. Penser comme l'ennemi
Supposez que vous administrez un r�seau d'entreprise. De tels r�seaux sont couramment constitu�s de syst�mes d'exploitation, d'applications, de serveurs, de contr�leurs de r�seau, de pare-feu, de syst�mes de d�tection d'intrusions et bien plus encore. Imaginez maintenant d'essayer de rester � jour pour chacun d'entre eux. Vu la complexit� des environnements r�seaux et logiciels d'aujourd'hui, les exploits et les bogues sont d'une certitude. Rester au courant des correctifs et des mises � jour pour un r�seau entier peut s'av�rer devenir une t�che d�courageante dans une grande soci�t� avec des syst�mes h�t�rog�nes.
En combinant les besoins d'expertise avec la t�che de rester au courant, il devient in�vitable que des incidents n�gatifs se produisent, que les protections de syst�mes soient bris�es, que des donn�es soient corrompues et que le service soit interrompu.
Pour augmenter les technologies de s�curit� et aider � prot�ger les syst�mes, les r�seaux et les donn�es, essayez de penser comme un pirate et mesurez la s�curit� des syst�mes en v�rifiant leurs faiblesses. Des �valuations de vuln�rabilit�s pr�ventives sur vos propres syst�mes et ressources r�seaux peuvent r�v�ler des probl�mes possibles qui peuvent �tre trait�s avant qu'un pirate ne les trouve.
Une �valuation des vuln�rabilit�s est une analyse interne de votre s�curit� de r�seau et de syst�me�; ses r�sultats indiquent la confidentialit�, l'int�grit� et la disponibilit� de votre r�seau (comme expliqu� dans la Section 1.1.4). Une �valuation des vuln�rabilit�s commence normalement par une phase de reconnaissance durant laquelle les donn�es importantes sur les syst�mes et les ressources cibles sont rassembl�es. Cette phase am�ne ensuite � la phase de pr�paration du syst�me, par laquelle la cible est essentiellement contr�l�e contre toutes les vuln�rabilit�s connues. La phase de pr�paration aboutit � la phase de rapports, o� les conclusions sont classifi�es en cat�gories de risques �lev�s, moyens ou bas�; et les m�thodes pour am�liorer la s�curit� (ou r�duire le risque de vuln�rabilit�s) de la cible sont examin�es.
Si vous deviez effectuer une �valuation des vuln�rabilit�s de votre maison, vous v�rifieriez s�rement chaque porte pour voir si elles sont bien ferm�es et verrouill�es. Vous v�rifieriez �galement chaque fen�tre, vous assurant qu'elles sont bien ferm�es. Le m�me concept s'applique aux syst�mes, r�seaux et donn�es �lectroniques. Les utilisateurs malveillants sont les voleurs et les vandales de vos donn�es. Concentrez vous sur leurs outils, leur mentalit� et leurs motivations et vous pourrez alors r�agir rapidement � leurs actions.