Les briques sécurité des OS : l'analyse de risque comme arbitre

Les systèmes d'exploitation se sont enrichis de fonctionnalités de sécurité : chiffrement, contrôle d'accès ou pare-feu. Selon les risques, les logiciels tiers des spécialistes ne sont pas toujours le meilleur choix.

Les systèmes d'exploitation ont d'abord été développés sans tenir compte des problématiques de sécurité, exception faite sans doute des OS Linux et de BSD. Microsoft a d'ailleurs souvent subi les foudres des entreprises utilisatrices en raison des vulnérabilités de Windows, notamment lors des attaques des vers Sasser et Blaster.

La sécurité est devenue progressivement un critère de développement des OS, voire plus globalement des logiciels, même si un travail conséquent de sensibilisation des développeurs reste à mener. Microsoft a, d'aucun diront tardivement, adopté un processus de développement sécurisé, le SDL (Security Development Lifecycle). Celui-ci est né du projet Trustworthy Computing Initiative, initié en 2002 par Bill Gates.

Par cette méthodologie, Microsoft a pu réduire le nombre de vulnérabilités au sein de Windows Vista et de SQL Server. L'éditeur américain a récemment décidé de partager avec les ISV (independent software vendors) sa méthode et ses outils internes de sécurité. Deux outils gratuits seront ainsi librement téléchargeables.

SDL Optimization Model, une checklist sous forme d'un questionnaire évalue les pratiques de développement sécurisé (formation, modélisation des menaces, gestion des correctifs, etc.). L'outil sera accessible en novembre depuis la page Web Microsoft consacrée au SDL et répertoriant déjà de nombreuses ressources. L'autre application, SDL Threat Modeling Tool 3.0, a pour but d'aider les architectes logiciels à identifier les points sensibles en termes de sécurité dans leur code.

Des briques intégrées pour des métiers non critiques

Mais la sécurité ne s'est pas restreinte à la seule question du code en ce qui concerne les systèmes d'exploitation. Les OS se sont en effet progressivement dotés de briques de sécurité intégrées. "C'est une tendance qui remonte à cinq ans. Cela a débuté pour Windows par l'intégration d'un pare-feu dans le SP2 d'XP. C'est une pratique encore plus évidente pour Vista qui comprend antispyware avec Defender, chiffrement avec BitLocker et NAP pour la conformité", cite Edouard Jeanson, directeur du centre de compétences sécurité de Sogeti.

Les OS Linux se sont eux aussi dotés de fonctionnalités sécurité, qu'il s'agisse du firewall, de la cryptographie ou de l'antivirus. L'antivirus est d'ailleurs le domaine pour lequel Microsoft a pour l'instant renoncé à une intégration dans Windows, la crainte de poursuites pour pratiques anticoncurrentielles n'y étant étrangère. Avec Forefront, l'éditeur propose néanmoins des produits de sécurité, notamment pour sa messagerie Exchange.

Deux alternatives s'offrent donc aux entreprises : doivent-elles faire appel aux outils fournis avec l'Operating System ou privilégier les logiciels tiers ? "La réponse doit intervenir au terme d'une analyse de risque. Charge à l'entreprise d'évaluer pour ses métiers les différents risques et leur niveau de criticité. Même un industriel de la défense pourra faire le choix des briques intégrées pour un de ses métiers si celui-ci n'est pas critique ", estime Edouard Jeanson.

Le bannissement de principe n'est donc pas de rigueur. L'analyse de risque identifiera les parties du périmètre à protéger et pour chacune le niveau de sécurité à apporter. Coût, périmètre fonctionnel et ergonomie seront également des critères d'évaluation dont tenir compte dans le choix.

L'opportunité pour les PME d'accéder à des fonctions de sécurité coûteuses

"Ces compléments apportés à l'OS sont même une très bonne chose pour les PME-PMI qui jusqu'alors n'étaient pas en mesure de s'offrir ses solutions de sécurité et donc ne s'engageaient pas sur certains projets. La typologie des clients a pu s'élargir. Le chiffrement est devenu accessible, et plus uniquement aux grands comptes. Il y a dix ans, une PKI impliquait des achats de licence. Désormais, elle est comprise dans Windows Server, sans coût logiciel supplémentaire", apprécie Edouard Jeanson.

Pour les éditeurs de sécurité, la solution est sans doute de veiller à la bonne interopérabilité de leurs produits avec les systèmes d'exploitation pour en faciliter l'installation. Il s'agit aussi d'en soigner l'ergonomie et l'administration. Les entreprises cherchent en effet de plus en plus à harmoniser les technologies déployées et à rechercher des solutions administrables via une console unique fournissant une vue globale de la sécurité.

En France, un autre critère de différenciation entre les produits de sécurité du marché pourrait bien être la CSPN, la certification de sécurité de premier niveau dont la mise en place se fait sous la tutelle du SGDN (secrétariat général de la défense nationale). Cette certification, attribuée après audit par un des trois laboratoires indépendants accrédités (dont fait partie Sogeti) vise à labéliser les solutions de sécurité amenées à être déployées dans les administrations françaises.