Le bananier qui masque la caméra

Filtrer par catégorie :

04 Mai 2016 by Romain Castel
Romain Castel

Les missions d’audit SSI peuvent amener les auditeurs à réfléchir sur des sujets connexes à leur activité. Par exemple, sur les moyens mis en œuvre par les petites et moyennes entreprises pour réaliser un cahier des charges sur des sujets très éloignés de leur cœur de métier. Ou encore, sur la pertinence des recommandations finales émises par les auditeurs.

Au cours de l'analyse des intrications existantes entre le système de vidéosurveillance et le réseau informatique d'un audité, l’occasion a été offerte aux auditeurs d'observer l'installation de deux nouvelles caméras dans le dit système de vidéosurveillance.

Ces caméras, contrôlées 24h sur 24 par un garde au niveau du poste de sécurité, sont destinées à surveiller le jardin et le sommet des murs d’enceintes. Une fois l'installation des caméras terminée, il a été demandé au gardien de se prêter au jeu suivant: surveiller l’écran de contrôle comme il le fait habituellement (avec attention donc) alors que l'un des auditeurs effectue un parcours dans le jardin en tentant de se soustraire à sa vigilance.

A la grande surprise du gardien, il lui a été impossible de voir l’auditeur sur son parcours alors que celui-ci commençait au portail d'entrée et terminait à une porte permettant de pénétrer dans les locaux. La raison de cet échec ? L'une des nouvelles caméras a été installée derrière un grand bananier qui lui masque presque entièrement la vue. Point positif, elle filme malgré tout le sommet du mur d'enceinte. Cette disposition « originale » a pour effet de créer un angle mort permettant à n’importe qui de s'introduire dans le périmètre et d'accéder aux locaux.

Comment l'installateur des caméras n’a-t’il pas pu voir cela? A-t’il pris en compte tous les besoins de sécurité de son client? Est-il possible pour cette petite structure d’appliquer consciencieusement les conseils que lui apporte son prestataire ?
 

Difficulté à définir un cahier des charges.

Pour une petite ou moyenne structure qui ne peut pas se permettre de disposer de compétences très diversifiées en interne, il est également très compliqué de définir un cahier des charges pour un domaine qu’elle ne maîtrise pas. La plupart du temps, il sera seulement composé d’une description basique du système attendu :

  • Installer un système de contrôle d’accès par badge sécurisé ;
  • Installer un système de vidéosurveillance ;
  • Renforcer les portes d’accès aux locaux.

Le client supposera que le prestataire (qui connait son produit) comprendra ses besoins, même si ceux-ci sont mal exprimés, voire même non exprimés. Il supposera également que le prestataire prendra en compte et l’informera des aspects légaux, des contraintes techniques et des restrictions afférentes au système à mettre en place. Par exemple le fait que l’installation d’un système de vidéo surveillance nécessite une déclaration à la CNIL, qu’il faut que les personnes accédant aux locaux de l’entreprise soient prévenues qu’elles sont filmées, et que ce système ne peut pas servir à surveiller l’efficacité des salariés.

Mais aujourd'hui il est difficile pour une petite structure de se renseigner sur la qualité d'un prestataire et d'évaluer la pertinence des conseils qu'il va lui prodiguer. Le client fait souvent l’amalgame entre une société spécialisée dans l'intégration de systèmes de sécurité (système de vidéosurveillance, système de contrôle d'accès par badge, solution de bastion, solution antivirale, etc...) et une société spécialisée dans la sécurité des systèmes d'information.

En effet, le premier est l'installateur qui maîtrise (généralement) son produit et qui est capable de le mettre en œuvre selon les recommandations de l'éditeur/du concepteur. Cependant, il n’a pas forcement en tête les besoins de sécurité de son client, voir même ne les appréhende pas. Citons quelques exemples vécus :

  • Lorsque nous avons qualifié notre système de contrôle d’accès par badge, nous avons identifié une technologie permettant d’avoir des badges chiffrés, nous avons donc demandé un système compatible avec cette technologie et supposé que notre prestataire comprendrait et nous fournirait tous les éléments nécessaires au chiffrement des badges. Mais de son point de vue pourquoi proposer un module permettant de chiffrer les badges d'accès quand aucun client ne l'a jamais demandé? Il n’a pas appréhendé notre demande, car il ne sait pas que par défaut, s’ils ne sont pas chiffrés, les badges sont aisément reproductibles et donc n’importe qui ayant eu accès à l’un d‘entre eux serait en mesure de s’introduire dans les locaux.
  • Dans le même esprit, pourquoi conseiller de mettre des vis traversantes dans une cloison pour fixer des ventouses électro-aimants alors qu'une simple vis dans le montant en plastique de la porte est plus simple à installer ? Le problème c’est que cette vis devient le point de faiblesse du système mis en place car elle résiste moins à la contrainte que les ventouses. Il est ainsi possible d'arracher beaucoup plus facilement les ventouses fixées sur la porte et la cloison.
  • Ou encore, pourquoi supprimer l'activation automatique du mode dégradé par défaut sur le système de contrôle d'accès par badges, alors que personne ne le demande? Ici le problème vient du fait que le mode dégradé entraîne une absence de vérification de la validité des badges en cas de perte de connexion avec le serveur central, dans le cas où le serveur central aurait une panne. Mais aucun mécanisme d’alerte n’existe sur le serveur ou les badgeuses pour prévenir que le mode dégradé est actif. Ainsi n’importe qui peut entrer dans les locaux car le contrôle d’accès est en fait désactivé.

Ces quelques points avérés pointent le fait que les intégrateurs ne maîtrisent pas toujours les tenants et les aboutissants des produits qu'ils installent. En conséquence, ils ne sont pas forcément en mesure de prodiguer des conseils adéquats aux clients. Même pour une société spécialisée dans la sécurité des systèmes d'information, il peut être extrêmement complexe d'obtenir toutes les informations nécessaires à la compréhension du système mis en place par son prestataire.

Il est normal de passer par une recette du système mis en place pour contrôler qu'il est conforme aux exigences du cahier des charges. Mais si celui-ci n’a pas été correctement établi en amont (comme c’est souvent le cas) le client n’aura pas la capacité de recetter le système et devra donc acheter une prestation d’audit pour cela et ainsi vérifier que l’installateur a non seulement respecté le cahier des charges, mais également qu’il a correctement appréhendé les besoins de sécurité de son client.

Un audit (ou en tous cas l'application d'un processus d'audit) est extrêmement utile en cas d'installation d'un nouveau composant dans le SI, car il permet de vérifier que l’installation des équipements a été faite selon les pratiques en vigueur, que ce soit concernant la sécurisation du produit en lui-même, l'utilité que le produit peut avoir dans le contexte du client ou l'impact de l'intégration du produit sur la sécurité globale du SI.

Pour prévenir les éventuels manquements du prestataire, une clause imposant un audit du système mis en place et stipulant que l'intégrateur prenne en compte les modifications à apporter suite à l'audit pourrait toujours être présente dans les contrats d’installation. L’objectif de cet audit sera de remonter les défauts qui peuvent être présents dans l'outil ou dans son installation. Le client pourra ensuite demander des ajustements à son prestataire selon les recommandations des auditeurs.

bananier
 

Pertinence des recommandations

Dans le cas du pauvre bananier, deux recommandations évidentes s'imposent :

  • Mettre fin à la vie du géant herbacé ;
  • Déplacer la caméra.

De façon plus générale, un auditeur qui se trouve en présence d'une vulnérabilité a souvent le choix entre plusieurs recommandations pour pallier les impacts de la vulnérabilité ou même pour la corriger complètement.

Un auditeur consciencieux classera ses recommandations selon leurs coûts de mise en place (intégrant la difficulté de mise en œuvre, les ressources nécessaires et le contexte du client dans son calcul). Le client pourra ainsi produire un plan d'actions à court, moyen et long termes afin d'améliorer itérativement la sécurité de son système d'information.

Mais le plus souvent, les auditeurs se contentent de proposer la recommandation, certes la plus efficace, mais qui est généralement la plus coûteuse (sans pour autant avoir d'intérêt économique dans la remédiation). Alors qu'une recommandation plus simple, certes légèrement moins efficace pour corriger les problèmes mais largement moins coûteuse, permettrait à l'audité de se protéger suffisamment contre les menaces auxquelles son SI est confronté. Il est en effet inutile de conseiller à un client de se protéger contre les services de renseignement étatiques quand la menace la plus importante à laquelle il doit face est le petit-fils du voisin.

Oui, c’est le rôle de l’auditeur que de faire en sorte que ses clients parviennent à améliorer le niveau de sécurité de leur SI. Mais il est impossible de croire qu'ils parviendront à atteindre l'état de l'art s'ils n'en sont pas déjà très proches. Il faut que cette évolution soit graduelle et qu'elle prenne en compte le contexte dans lequel le client se trouve. Les recommandations d'un auditeur doivent permettre au client d’améliorer la sécurité de son SI pas à pas pour s’approcher de l’état de l’art.

Les commanditaires d'un audit doivent eux comprendre que les recommandations émises par les auditeurs ne doivent pas être prises au pied de la lettre et qu'il faut passer par une phase de qualification des recommandations, menant à l’établissement d’un plan d’action (quitte, pour cela, à faire appel à une prestation de conseil). Car c'est bel et bien au client de définir un plan d'action, les auditeurs n’ont pas le pouvoir d'imposer la correction et la façon de corriger une vulnérabilité.

Un auditeur suit un protocole d'audit et confronte ses preuves à un référentiel afin d'en tirer des constats. Pour une bonne réalisation de sa tâche, il lui est évidemment nécessaire d’être indépendant. Mais il est également important d’être intègre, d’être ouvert d’esprit et de faire preuve d'honnêteté lors de la restitution, à la fois pour rendre un avis juste et sincère sur le niveau de sécurité du périmètre audité, mais également pour émettre des recommandations cohérentes avec les besoins et le contexte du client.

L'histoire se termine bien pour le bananier puisque la deuxième recommandation (déplacer la caméra) a fort heureusement été retenue permettant ainsi de sauver la vie de ce majestueux herbacé.