Protection active vs. passive, quelles différences ?

Culture tech.

Les nuances entre sécurité active et sécurité passive en informatique

On pourrait rapprocher protection active et protection passive respectivement de ce que le vocabulaire courant entend par sûreté et sécurité : la sûreté correspond à une action volontaire de l’utilisateur, alors que la sécurité est conçue par design et construction du système. Et pour être pleinement efficaces, l’une ne va pas sans l’autre : elles sont complémentaires.

La protection active : analyser et agir 

La protection active permet d’observer et de comprendre les attaques, de les ralentir et d’amenuiser les ressources des attaquants. 

La première étape consiste à analyser les attaques : les informations obtenues servent ensuite à adapter et à optimiser les moyens de défense traditionnels. Ainsi, les piratages sont bloqués plus efficacement en : 

  • trompant l’attaquant ;
  • lui transmettant de fausses informations ;
  • collectant des informations sur ses méthodes. 

Concrètement, la protection active peut prendre différentes formes : 

  • renvoyer à l’attaquant des informations sans valeur ou erronées ;
  • perdre le pirate dans des zones volumineuses, le guider vers de fausses vulnérabilités ;
  • bloquer des adresses IP sur les navigateurs de l’entreprise ;
  • faire supprimer des sites malveillants par les hébergeurs (requête à leur envoyer avec quelques copies d’écran significatives ; en général ils s’exécutent sous quelques jours) ;
  • faire « blacklister » des adresses IP auprès des fournisseurs d’accès et hébergeurs.

La gestion de la protection active correspond à un travail quotidien des administrateurs système, en liaison constante avec les RH : (re)distribuer les autorisations selon les paramètres de ceux “ayant le droit d’en connaître” et suivre les mouvements du personnel pour adapter (ou supprimer) leurs accès. 

En effet, le paramétrage des privilèges et autorisations d’accès ainsi que leur mise à jour constante nécessitent une intervention humaine. 

La surveillance des flux de données et la détection de fréquences inhabituelles de demandes d’accès requièrent des outils informatiques automatisés (couplés, en général, à l’intelligence humaine), ces derniers étant mieux adaptés aux grands volumes. 

Dans tous les cas, il est recommandé de faire appel à une société spécialisée disposant des ressources techniques nécessaires en tests d’intrusion et en “red team” : une équipe de spécialistes qui se tient très à jour des menaces, et qui monte des scénarios d’attaques possibles afin de proposer des solutions pour les contrer.

Les exemples d’actions de sécurité active sont en général tenus secrets par les entreprises et leurs prestataires – sous peine de voir leurs effets annulés. 

La protection passive : anticiper et construire

La protection passive est une défense pré-installée, à la manière d’un château fort muni de plusieurs enceintes successives. 

Les matériels et logiciels sont installés par design et permettent une protection automatique des systèmes. Par exemple : 

  • un partitionnement intelligent des serveurs ;
  • un dispositif de sauvegarde physique distinct géographiquement et déconnecté lorsqu’il n’est pas en service ;
  • l’interdiction d’installation d’exécutables, sauf par un administrateur ;
  • etc.

Entrent aussi en compte dans la protection passive des aspects purement matériels de protection périmétrique, voire de protection anti-incendie ou encore anti-surtensions comme des onduleurs (capables d’écrêter les pics de tension et de maintenir une tension minimale permettant le bon fonctionnement du système informatique). 

Concrètement, c’est au moment du design de l’architecture du système et de l’installation des logiciels  que les responsables SI vont concevoir ce “château fort” :

  • choix des matériels et de leur installation, sécurisée contre tout type de risque (et pas seulement les risques d’attaques informatiques) : incendie, inondation, intrusion physique ;
  • choix des logiciels et distribution intelligente des autorisations d’accès et de leur routine de mise à jour ;
  • définition et implémentation des sauvegardes ;
  • cartographie du système et préparation des plans de continuation d’activité/de reprise d’activité ;
  • etc.

Les exemples de systèmes de sécurité passive sont nombreux, mais pas tous du même niveau. Disposer d’un extincteur c’est bien, d’un serveur redondant dans un bâtiment sécurisé contre l’incendie, c’est mieux. On se rappelle les mésaventures d’OVH avec l’incendie d’un de ses data center. Ici, on a affaire à un double défaut de sécurité passive : d’une part la sécurisation contre l’incendie s’est avérée peu efficace, de plus les sauvegardes étaient absentes ou mal conçues.

L’installation d’antivirus ou d’anti-malwares et leur mise à jour quotidienne automatisée font aussi partie de l’arsenal des mesures qui, par construction, cerclent le système d’information de barrières de sécurité passives (parfois en couches successives) auxquelles on peut accorder confiance.

La mise en place d’un chiffrement des données est de l’ordre du passif – il est systématique et automatique – mais traduit bien une volonté d’être proactif dans la protection des données.

Deux approches complémentaires

Les tactiques traditionnelles de sécurité passive inspirées du modèle du château fort, c’est-à-dire visant à se protéger automatiquement (fermeture des flux, antivirus, IPS, etc.), ne suffisent plus à elles seules, et ne sont pas adaptées pour répondre aux types de menaces actuelles. Les tactiques actives peuvent paraître lourdes, car faisant appel à des compétences pointues (souvent externalisées), mais elles sont particulièrement adaptées aux méthodes actuelles des attaquants.

Il est recommandé de ne pas attendre d’être victime pour anticiper : auditer, analyser, décortiquer les tentatives d’intrusion, puis les contrer, permet d’être proactif et de conserver un avantage par rapport aux pirates.

Bien défendu par un périmètre solide, mais aussi être attentif aux menaces : il convient de cumuler les deux approches, complémentaires, pour bâtir une stratégie complète de protection informatique.

Quelle place pour le chiffrement ?

Il est possible de se prémunir contre tout usage non autorisé des données de l’entreprise, en les rendant incompréhensibles et donc invendables et inutilisables. 

Il s’agit du chiffrement des données :  il peut s’appliquer dès la création du fichier, et de manière transparente – c’est-à-dire que l’utilisateur ne s’aperçoit pas que le contenu qu’il reçoit ou qu’il crée est immédiatement chiffré, sans délai ni perte de temps. 

L’entreprise reste maître de son chiffrement, et se positionne comme le seul propriétaire des clés qui permettent le déchiffrement des données. 

Cette protection empêche le pirate d’exploiter son action malveillante. Et prévient ainsi l’entreprise des conséquences lourdes d’une fuite de données.

L’organisation a tout intérêt à cumuler des couches de protections passives – par construction – et actives – par une action volontaire de gestion des systèmes pour améliorer sa protection. Et pour asseoir tout cela sur une base solide, à mettre en place un chiffrement systématique des données qu’elle traite et héberge.