les outils de sécurité

LES OUTILS DE SÉCURITÉ
Par Gérard Peliks
Expert sécurité
Security Center of Competence
EADS Defence and Security
Avril 2008
Un livre blanc de Forum ATENA
Un livre blanc
1/8
SOMMAIRE
LES OUTILS DE SÉCURITÉ .......................................................................................... 1
1.
LES OUTILS DE SÉCURITÉ ................................................................................... 3
2.
L’AUTHENTIFICATION FORTE ............................................................................. 3
3.
LES FIREWALLS .................................................................................................. 4
3.1.
3.2.
3.3.
4.
SUR QUELS PARAMÈTRES FILTRER LES DONNÉES ? ....................................................................... 4
LE MASQUAGE DES ADRESSES IP DU RÉSEAU INTERNE .................................................................. 4
LES ZONES DÉMILITARISÉES ................................................................................................. 5
LES RÉSEAUX PRIVÉS VIRTUELS......................................................................... 5
4.1.
4.2.
L’IPSEC ........................................................................................................................ 5
LE SSL ......................................................................................................................... 6
5.
LES OUTILS DE PRÉVENTION D’INTRUSION ....................................................... 6
6.
LES OUTILS DE SURVEILLANCE .......................................................................... 6
7.
LE PC NOMADE SÉCURISÉ AVEC OU SANS FIL ..................................................... 6
7.1.
7.2.
7.3.
8.
GLOSSAIRE ......................................................................................................... 7
8.1.
8.2.
9.
LE VPN CLIENT ................................................................................................................ 7
LE FIREWALL PERSONNEL .................................................................................................... 7
LE CHIFFREMENT D’UN DISQUE DUR ET AUTRES MÉDIAS ................................................................. 7
ACRONYMES.................................................................................................................... 7
DÉFINITIONS................................................................................................................... 7
A PROPOS DE L’AUTEUR ..................................................................................... 8
Un livre blanc
2/8
1.
LES OUTILS DE SÉCURITÉ

Un anti-virus n’est pas le seul outil nécessaire pour sécuriser un réseau. En fait toute une panoplie de
solutions doit être envisagée pour offrir un niveau acceptable de sécurité. L’idéal est de posséder une
interface commune de gestion de ces outils et d’offrir à l’utilisateur une totale transparence et un
moyen unique de s’authentifier qui sera cascadé entre tous les outils quand nécessaire.

Les attaques menacent l’intégrité, la confidentialité, l’authenticité et la disponibilité des informations. Il
convient de protéger ces informations par des outils appropriés. Pour imager ces outils, faisons une
analogie entre quelques-uns uns de ceux qui protègent un système d’information et les services
équivalents qui protègent physiquement une banque.

Un firewall peut être assimilé à un gardien posté au portail d’entrée de la banque. Certains gardiens
vous laissent entrer si vous portez une cravate et si votre portrait ne figure pas dans un trombinoscope
de personnes indésirables. D’autres vous demandent de vous authentifier et vous fouillent avant de
vous laisser entrer parce que leur politique de sécurité est ainsi faite. Il en est de même pour les
firewalls. Certains filtrent les trames IP au niveau du réseau et en fonction de l’adresse de départ ou de
destination, laissent passer ces trames ou les rejettent. D’autres analysent finement le contenu de
chaque paquet IP avant de l’autoriser ou de le bloquer et de journaliser l’attaque.

Le VPN (ou RPV réseau privé virtuel) est analogue à un fourgon blindé qui transporte les fonds d’une
succursale de banque vers une autre succursale ou la recette d’un commerçant vers sa banque. Bien
sûr avec un matériel approprié on peut attaquer le fourgon et le fracturer pour s’emparer de son
contenu. La protection est dans l’épaisseur du blindage. De même pour les VPN, la protection repose
sur la longueur de la clé et la solidité des algorithmes de chiffrement.

Les IDS ou IPS, intrusion détection systems ou intrusion prevention systems, agissent comme des
caméras de surveillance. Certains observent et retransmettent ce qui se passe (IDS). D’autres
observent, retransmettent et peuvent réagir en cas de fonctionnement jugé anormal (IPS).

Le scanner de vulnérabilités est comme un audit de sécurité. Il évalue les faiblesses et les dangers
qui pèsent sur un système d’information ou sur un réseau et dresse un journal de ce qu’il trouve.

Le chiffrement est comme une clé de sûreté, il y en a de plus ou moins performantes. La clé de
sûreté sert à ouvrir une porte, la clé de chiffrement sert à ouvrir, en clair, un fichier chiffré. Elle sert
aussi à fermer un fichier en le chiffrant comme on ferme une porte à clé. Dans le cas d’un VPN, une clé
chiffre à l’entrée du tunnel, une clé déchiffre à la sortie.

L’authentification forte peut être comparée à un badge, avec la photo et la signature du porteur.
2.
L’AUTHENTIFICATION FORTE
Avant d’offrir ou de refuser à un utilisateur l’accès au réseau, il convient de s’assurer que cet
utilisateur est bien celui qu’il prétend être (authentification) avant de contrôler que la politique de sécurité
de l’entreprise accorde à cet utilisateur le droit d’accéder au réseau (autorisation).
La solidité d’un système de protection est toujours celle de son maillon le plus faible, et souvent ce
maillon est précisément l’authentification. Il faut savoir que l’authentification d’un individu par son mot de
passe seul n’offre aucune garantie réelle de sécurité, surtout si ce mot de passe est re-jouable, encore
plus s’il n’expire pas dans le temps, et davantage encore si le mot de passe est laissé au libre choix de
l’utilisateur. De toute manière les mots de passe transitent en clair sur le réseau où ils peuvent être lus. Il
existe aussi des utilitaires qui récupèrent les mots de passe sur les disques pour les déchiffrer et ce n’est
alors qu’une question de temps pour parvenir à obtenir ces mots de passe en clair, quand ils ne sont pas
déjà stockés en clair sur le disque.
Sans authentification, comment s’assurer que le bénéficiaire d’un droit d’accès est bien celui qu’il
prétend être, pour empêcher qu’il accède aux informations d’une autre personne, car alors le vol de
données potentiel sera difficilement identifiable puisque c’est la personne autorisée qui semblera les avoir
prises.
On peut prouver qu’on est celui qu’on prétend être par trois moyens :
1.
Par ce qu’on a, par exemple une carte, un token USB ou une calculette.
2.
Par ce qu’on sait, par exemple un mot de passe
3.
Par ce qu’on est et ici intervient la biométrie, par exemple les empreintes digitales, l’iris de l’œil,
la morphologie de la main ou du visage.
C’est en combinant au moins deux de ces trois moyens qu’on obtient une authentification forte,
comme par exemple une clé USB (ce qu’on a) avec un code PIN (ce qu’on sait). Comme une souris (ce
Un livre blanc
3/8
qu’on a) avec prise d’empreintes digitales (ce qu’on est). L’authentification est considérée comme forte
parce qu’on perd rarement les deux moyens à la fois.
3.
LES FIREWALLS
Le firewall, appelé aussi pare-feu ou garde-barrière, est l’élément nécessaire, mais pas suffisant, pour
commencer à implémenter une politique de sécurité périmétrique autour de son Intranet. La première
caractéristique d’un Intranet est d’être un réseau privé. Mais si ce réseau privé présente des connexions
vers l’Internet ou vers tout autre réseau public, pourquoi doit-il être considéré comme un réseau privé
plutôt que comme une extension de l’Internet ou du réseau public ? … avec tous les risques que cela
entraîne.
Un firewall est un dispositif logiciel ou matériel (les appliances) qui filtre tous les échanges qui passent
par lui pour leur appliquer la politique de sécurité de l’entreprise. Cette politique, au niveau du firewall
consiste à laisser passer tout ou partie de ces échanges s’ils sont autorisés, et à bloquer et journaliser les
échanges qui sont interdits.
Bien entendu, la finesse et la granularité des éléments entrant en jeux dans le filtrage des échanges,
et la hauteur de vue du firewall pour traiter ce qu’il convient de laisser passer ou de bloquer, mesurent la
capacité d’un firewall à prendre en compte des politiques de sécurité très complexes.
3.1. SUR QUELS PARAMÈTRES FILTRER LES DONNÉES ?
L’idéal est de pouvoir filtrer les données suivant le plus de critères possibles, en fonction de ce qu’on
trouve en contrôlant le contenu des paquets IP. Pour filtrer finement la messagerie ou les accès Web, il
faut attribuer des permissions ou des interdictions, en se basant sur le protocole applicatif utilisé audessus du protocole IP (SMTP pour la messagerie, HTTP pour le Web). Il est ainsi possible de permettre à
un utilisateur nomade, l’accès, de l’extérieur de l’entreprise, à son serveur de messagerie et de lui refuser
l’accès au Web situé sur l’Intranet.
Il existe des firewalls qui ne filtrent qu’au niveau élémentaire du paquet IP et d’autres, plus évolués qui
montent jusqu’au niveau applicatif pour appliquer une politique de sécurité centrée sur l’utilisateur et
l’utilisation qu’il fait des applications que le firewall protège.
Le paquet IP se compose de deux éléments : son en-tête et la donnée utile qu’il transporte. Dans l’entête on trouve l’adresse IP, le nom de l’hôte origine et de l’hôte de destination, les numéros de port
entrant et sortant et le protocole utilisé. Les firewalls qui se contentent de filtrer à ce niveau offrent peu
de souplesse pour implémenter une politique de sécurité, par contre offrent de très bonnes performances
réseaux puisqu’ils n’analysent pas le contenu des paquets.
Certains firewalls analysent le contenu des paquets et fonctionnent à base de relais (les proxies). Un
proxy est une application située sur le firewall, qui permet à celui-ci de se faire passer, vis à vis de
l’utilisateur, pour le serveur de l’application à laquelle il veut accéder. Avec ce mécanisme, un firewall est
capable de fonctionner comme un sas qui demande à l’utilisateur de s’authentifier, prend en compte sa
demande, la transmet au serveur si la politique de sécurité l’autorise. Au retour, il analyse la réponse du
serveur jusqu’au niveau applicatif et si elle est conforme à la politique de sécurité de l’entreprise, il la
transmet à l’utilisateur.
Par exemple dans un flux web, le proxy HTTP est capable de supprimer du contenu des pages web, les
ActiveX, les applets Java et les JavaScripts. Dans un flux de messagerie, le proxy SMTP est capable de
limiter la taille des fichiers attachés aux emails, de refuser les attachements de fichiers exécutables et de
bloquer les messages qui, dans leur champ sujet, contiennent certains mots qui peuvent laisser supposer
qu’il s’agit d’un SPAM ou d’un virus.
Plus un firewall dispose d’un nombre important de proxies, plus souple et plus complète peut être la
politique de sécurité qu’il implémente. Entre le niveau filtrage de paquets et le niveau filtrage de proxy, on
trouve un niveau intermédiaire connu sous le nom de « statefull Inspection » où l’état d’un paquet IP
entrant dans le firewall est mémorisé pour pouvoir traiter ce qu’il convient de faire avec le paquet réponse
qui revient par le firewall.
3.2. LE MASQUAGE DES ADRESSES IP DU RÉSEAU INTERNE
La première information que le hacker désire connaître est l’architecture réseau de l’Intranet qu’il
cherche à attaquer. Cela ne lui suffit pas pour réussir son attaque mais cela lui fait gagner du temps.
Alors, pour ne pas faciliter ses coupables desseins autant commencer par cacher l’architecture du réseau
privé et en particulier les adresses IP qui peuvent lui permettre de le reconstituer.
Un livre blanc
4/8
Les firewalls offrent cette possibilité en substituant aux adresses IP de l’Intranet, l’adresse du
contrôleur réseau qui permet au firewall de communiquer avec l’extérieur. C’est ce qu’on appelle en jargon
de sécurité la NAT – translation des adresses du réseau. Le monde extérieur ne verra le réseau Intranet
que comme une adresse IP unique, celle du contrôleur réseau externe du firewall, même si l’Intranet
possède plusieurs milliers d’adresses IP.
3.3. LES ZONES DÉMILITARISÉES
Un firewall doit être placé en coupure entre un réseau non protégé (par exemple l’Internet) et le
réseau qu’il protège. Il contrôle les informations qui passent entre les deux réseaux. Plus de deux
interfaces réseaux peuvent sortir d’un firewall. Celui-ci contrôle alors les transferts entre chacune de ses
interfaces réseau et applique une politique de sécurité qui peut être particulière pour les paquets IP qui
transitent de telle à telle interface.
Supposons un firewall avec trois interfaces réseaux, donc duquel partent trois réseaux. La première
interface est tournée vers l’extérieur, vers le réseau non protégé, comme l’Internet, via un routeur. La
deuxième est tournée vers le réseau interne à protéger. La troisième interface est tournée vers un réseau
qui n’est ni tout à fait le réseau interne à protéger, ni le réseau public. C’est un réseau sur lequel on peut
appliquer une politique de sécurité particulière, moins stricte que celle du réseau interne. Il s’agit là d’une
DMZ, zone démilitarisée, sur laquelle on place en général le serveur Web de l’entreprise et parfois le
serveur anti-virus et le serveur de messagerie.
4.
LES RÉSEAUX PRIVÉS VIRTUELS
Un réseau privé virtuel (VPN Virtual Private Network) est un canal sécurisé établi le temps d’une
session ou d’une transaction sur un réseau physique qui lui peut ne pas être sécurisé. Ce réseau physique
peut être un réseau local, l’Internet ou l’air dans le cas du WiFI ou du WiMAX par exemple.
Le réseau est dit virtuel parce qu’il se constitue sur un réseau existant en lui ajoutant des
fonctionnalités en particulier de confidentialité et d’intégrité alors que ni le réseau physique, ni les
protocoles IP d’origine, n’apportent ce genre de fonctionnalités.
Le réseau est dit privé parce que le temps de la transaction, l’utilisateur peut considérer que ce réseau
lui est propre autant que lui appartiendrait une ligne louée sur laquelle il serait seul.
Un réseau privé virtuel ajoute essentiellement des fonctionnalités d’authentification, de confidentialité
et d’intégrité, aux informations qui transitent par lui.
L’authentification des extrémités est la preuve que le message vient bien de telle extrémité du tunnel
et va bien vers telle autre extrémité. Avant la transaction, les deux extrémités du tunnel s’authentifient
mutuellement. Ceci paraît simple à faire lorsqu’il n’y a qu’un seul tunnel, mais pensez que chaque point
peut être le départ de nombreux tunnels.
La confidentialité est l’assurance que seul celui qui est destinataire d’une information pourra la lire, et
l’intégrité est l’assurance que l’information n’a pas été modifiée par quelqu’un qui n’est pas autorisé à le
faire.
Constituer un réseau privé virtuel est donc l’art d’établir entre deux points un canal sécurisé qui après
authentification mutuelle des deux bouts du tunnel, va faire transiter l’information de manière intègre et
confidentielle. Il existe plusieurs types de réseaux privés virtuels. Chacun a ses qualités et ses défauts.
C’est ce qu’on en attend qui doit décider duquel choisir. Nous allons décrire le réseau privé virtuel IPSec,
puis le SSL et enfin le MPLS.
4.1. L’IPSEC
L’IPSec (protocoles internet sécurisés) est une série de protocoles, standardisés par l’IETF, qui
viennent en complément des protocoles IP actuels, dits IPv4. L’IPSec ajoute les fonctionnalités d’intégrité,
de confidentialité, d’authentification et de non rejeu qui manquent dans les protocoles IP définis par l’IPv4.
Ces fonctionnalités sont de base dans la version récente des protocoles IP, l’IPv6.
Un tunnel IPSec est bâti entre un client IPSec et un serveur IPSec, ou entre deux serveurs IPSec. Une
extrémité du tunnel peut être constituée par votre poste de travail avec le logiciel IPSec client. Le serveur
IPSec est en général une appliance qui fait à la fois office de firewall et de passerelle IPSec, placée à
l’entrée d’un réseau Intranet. Agissant aux niveaux bas des couches IP, l’IPSec est indépendant des
applications qu’il traite. L’IPSec est un bon moyen d’établir des réseaux privés virtuels entre différents
Intranets d’une entreprise possédant plusieurs implantations.
Un livre blanc
5/8
4.2. LE SSL
Le SSL (Secure Socket Layer) est un protocole conçu initialement pour apporter des fonctionnalités de
confidentialité aux échanges Web (protocole HTTP). Il apporte les mêmes fonctionnalités que l’IPSec mais
au niveau des couches applicatives. Dépendant de l’application, il est donc moins indépendant du niveau
applicatif que l’IPSec car il reste fondamentalement lié au protocole HTTP. Toutefois il existe des serveurs,
dits Webifiers, qui encapsulent des protocoles non Web dans des protocoles HTTP rendant dès lors
l’utilisation du SSL possible pour une application pour laquelle le SSL n’avait pas été prévu au départ. Le
grand avantage du SSL est que le client SSL est de base dans tous les navigateurs, comme l’Internet
Explorer et le Firefox. Il n’y a donc, contrairement aux VPN IPSec aucun déploiement à prévoir sur les
postes clients ni aucune gestion des clients SSL à assurer.
5.
LES OUTILS DE PRÉVENTION D’INTRUSION
Le firewall permet d’établir, autour du système d’information de l’entreprise, un périmètre de sécurité
dit « en noix de coco ». Si le firewall est compromis, alors rien ne protège plus les informations situées à
l’intérieur de l’entreprise des attaques venant de l’extérieur. Le firewall ne protège pas d’avantage contre
les attaques qui se font depuis l’intérieur de l’entreprise. C’est pourquoi il est indispensable d’ajouter au
firewall une sécurité en strate, dite encore « en pelure d’oignon » qui ajoute une sécurisation
indispensable à l’intérieur de l’entreprise.
C’est là que les IDS (Intrusion Detection Systems) interviennent. Les IDS sont composées de sondes
de détection d’intrusion et d’une console pour administrer ces sondes et analyser les informations
fournies. Comme le fait un antivirus, une IDS analyse les paquets et recherche s’ils contiennent des
signatures qui caractérisent des attaques connues. Il existe également des sondes de détection d’intrusion
qui observent le comportement des applications utilisées dans l’entreprise et qui déclenchent une alarme
quand elles détectent un fonctionnement qui sort de la normale. Il y a hélas beaucoup de « faux positifs »
qui causent des déclenchements d’alarmes alors qu’il n’y a pas d’attaques et des « faux négatifs » qui sont
des attaques que les IDS ne voient pas.
On distingue les HIDS qui sont des sondes qui auscultent les systèmes et les NIDS qui auscultent les
réseaux.
Les IPS ajoutent une fonction active aux IDS qui restent passives et ne font que signaler des attaques.
Les IPS (Intrusion Prevention System) sont capables, lors d’un constat de fonctionnement sortant des
normes, de reconfigurer un routeur ou de reparamétrer automatiquement un firewall.
6.
LES OUTILS DE SURVEILLANCE
Parmi les outils de surveillance, citons les proxies Web qui contrôlent les navigations des employés et
qui ne laissent passer que les pages Web qui correspondent aux catégories de listes blanches, ou qui
interdisent les pages Web qui sont inscrites dans des catégories de listes noires. Il peut être établit, pour
chaque employé ou chaque groupe d’employés, des quotas en durée, en volume ou en nombre de pages
Web consultées durant une période de temps déterminée.
Parfois le chemin de l’attaquant passe par un terrain miné. Ces pièges, ce sont les honeypots, les pots
de miel placés en amont d’un système d’information et qui l’émule par un firewall, par-ci, un serveur de
fichier et de messagerie par-là, mais ce sont en réalité des leurres dans lesquels l’attaquant s’englue et
n’arrive plus à en sortir sans laisser des traces qu’il ne pourra pas effacer. Son attaque est observée,
analysée et ses méthodes sont éventées. On distingue les pots de miel qui se contentent de simuler des
fonctionnalités d’un logiciel et qui entament un dialogue avec l’attaquant et d’autres plus élaborés qui sont
de vraies applications, une base de données par exemple. Ces dernières sont truffées de sondes de
détections d’intrusions, d’analyseurs de logs où tout est journalisé et archivé sur un serveur qui est lui
totalement inaccessible au pirate englué dans le piège. Le hacker croit agir dans l’obscurité de l’anonymat,
son attaque est en fait exposée en pleine lumière et sans espoir d’effacer les indices qu’il sème.
7.
LE PC NOMADE SÉCURISÉ AVEC OU SANS FIL
Quand un employé sort de son entreprise et tente, de l’extérieur, de s’y connecter, son PC nomade
devient un maillon en général faible de la chaîne de sécurité de l’entreprise, de plus l’utilisateur qui se
trouve derrière est également un maillon faible. Il convient donc de l’équiper de logiciels de sécurité pour
parer aux menaces spécifiques dont il est entouré et qui pèsent aussi sur le système d’information interne
de l’entreprise.
Un livre blanc
6/8
7.1. LE VPN CLIENT
Le VPN client est un logiciel, installé sur le poste nomade de l’utilisateur, qui va permettre de créer un
tunnel IPSec vers l’Intranet de son entreprise. Il permet d’effectuer une authentification mutuelle entre le
poste nomade et le tunnel serveur qui se trouve en général sur le firewall qui sécurise les accès à
l’Intranet de l’entreprise. Il se crée ensuite un tunnel chiffrant entre ces deux extrémités. L’utilisateur
nomade accède, depuis l’extérieur, aux serveurs de son Intranet, qui lui sont autorisés, avec autant de
sécurité que s’il était resté dans cet Intranet.
7.2. LE FIREWALL PERSONNEL
Un tunnel VPN établit entre le poste nomade et l’Intranet constitue un sérieux danger. Si le poste de
nomade est attaqué par un hacker qui prend le contrôle de ce poste à distance, souvent sans que
l’utilisateur qui a créé un tunnel, puisse s’apercevoir à temps de l’agression, une voie royale est offerte à
l’attaquant vers les serveurs de l’Intranet, et tout le réseau privé est ainsi mis en danger.
Pour éviter cela, le logiciel tunnel client tournant sur le poste nomade doit offrir un niveau minimum de
sécurité, équivalent à celui d’un firewall personnel. Les fonctions anti-rebond et blocage des flux entrants
d’un tunnel client apportent ce niveau de sécurité.
Le blocage des flux entrants empêche toute tentative de connexion vers le poste nomade. L’antirebond ne permet pas de passer par le poste nomade pour emprunter un tunnel qu’il vient de créer.
7.3. LE CHIFFREMENT D’UN DISQUE DUR ET AUTRES MÉDIAS
Le VPN répond au besoin de faire transiter une information secrète sur un réseau public, mais à l’autre
bout du VPN, cette information est livrée en clair. Le VPN ne répond donc pas à la nécessité de chiffrer les
informations confidentielles là où elles sont stockées. Chiffrer au moins les informations confidentielles sur
son disque dur, ses disquettes et ses clés mémoires est une nécessité car beaucoup de PC disparaissent,
volés ou simplement oubliés dans un train ou un taxi. Souvent la valeur marchande du PC est négligeable
par rapport à celle des informations qu’il stocke. Les méthodes qui s’appliquent aux VPN s’appliquent aussi
bien sûr au chiffrement des disques durs.
Il faut s’authentifier de manière forte avec une carte à puce ou une clé USB (à ne pas confondre avec
une clé mémoire) en introduisant ce média et en entrant son code secret (PIN code) ou son empreinte
digitale par exemple. Les logiciels de chiffrement sur disque sont ensuite en principe transparents pour
l’utilisateur. On chiffre au niveau du fichier, d’un répertoire ou d’une partition disque.
8.
GLOSSAIRE
8.1. ACRONYMES
DMZ
DeMilitarized Zone
DNS
Domain Name System
IDS
Intrusion Detection System
IPS Intrusion Protection System
IRC
Internet Relay Chat
NAT
Network Address Translation
URL
Uniform Resource Locator
VPN
Virtual Private Network
8.2. DÉFINITIONS
DMZ
DeMilitarized Zone. Un ou plusieurs réseaux partant d’un firewall et qui ne sont ni le réseau
externe non protégé, ni le réseau interne très protégé. C’est une zone intermédiaire avec
une politique de sécurité particulière, dans laquelle on place souvent le serveur Web
institutionnel de l’entreprise, le serveur anti-virus et le serveur de messagerie.
Firewall
Solution logicielle ou matérielle placée en coupure entre deux ou plusieurs réseaux et qui
contrôle tous les échanges entre ces réseaux pour ne laisser passer que les échanges
autorisés par la politique de sécurité de l’entreprise qu’il protège.
Un livre blanc
7/8
Intranet
Réseau interne de l’entreprise dont les applications utilisent les protocoles réseaux de
l’Internet (protocoles IP).
NAT
Network Address Translation, méthodes pour cacher les adresses IP d’un réseau protégé, en
les modifiant pour présenter des adresses différentes à l’extérieur. Il y a la NAT statique qui
fait correspondre une adresse publique à chaque adresse interne privée, et la NAT
dynamique qui attribue une adresse prise dans un pool limité d’adresses publiques à chaque
adresse interne, jusqu’à épuisement des adresses disponibles.
Proxy
Logiciel entre l’utilisateur et le serveur d’application, qui masque cette application en se
faisant passer pour le serveur
VPN
Virtual Private Network : Tunnel chiffrant entre deux réseaux protégés bâti sur un réseau
non-protégé et qui, après authentification mutuelle des deux bouts du tunnel, chiffre les
transactions qui doivent l’être et en assure l’authenticité, la confidentialité et l’intégrité.
9.
A PROPOS DE L’AUTEUR
Gérard PELIKS est expert sécurité dans le Cyber Security Customer Solutions Centre de
EADS.
Il préside l'atelier sécurité de l'association Forum ATENA, participe à la
commission sécurité des systèmes d'Information de l'AFNOR et anime un atelier
sécurité dans le cadre du Cercle d'Intelligence Économique du Medef de l'Ouest
Parisien. Il est membre de l'ARCSI et du Club R2GS.
Gérard Peliks est chargé de cours dans des écoles d'Ingénieurs, sur différentes facettes
de la sécurité.
gerard.peliks (at) eads.com
Les idées émises dans ce livre blanc n’engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA.
La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à
la condition d'en citer la source comme suit :
© Forum ATENA 2008 – Les outils de sécurité
Licence
-
Creative Commons
Paternité
Pas d’utilisation commerciale
Pas de modifications
L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites
sans la permission écrite de Forum ATENA.
Un livre blanc
8/8