Accueil

Vidéo
Cliquez ici

Documents
Article
Diapositives


JRES 2013

Une approche pragmatique de la mise en oeuvre de politiques de sécurité

167 : Une approche pragmatique de la mise en oeuvre de politiques de sécurité
Auteurs : Guillaume ROUSSE, Bertrand WALLRICH, Denis JOIRET
Il y a deux catégories d'administrateurs système et réseau :

  • ceux qui écrivent des politiques de sécurité ;
  • ceux qui sont censés les mettre en œuvre.

Comme les premiers ont tendance à écrire plus vite que les seconds ne mettent en œuvre, il vaut mieux pouvoir mesurer l'écart entre la théorie et la pratique, et ce afin de chercher le meilleur moyen de faire converger les deux.

Cet article présente l'approche que nous utilisons à l'INRIA pour évaluer la conformité de nos ressources informatiques vis-à-vis de notre politique de sécurité. A partir de données brutes fournies par différentes sources (nmap, nessus...), nous extrayons les éléments qui nous intéressent, et nous mettons en évidence les écarts avec nos préconisations. Le résultat est alors présenté sous la forme d'un rapport synthétique, faisant le lien entre la règle du jeu (la politique) et la réalité. Au delà de l'aspect purement technique de cette recherche de vulnérabilités, ce sont des considérations humaines qui président aux choix des indicateurs, au langage, à la présentation des résultats, et à la volonté de présenter ceux-ci dans notre contexte spécifique, avec des solutions techniques prêtes à l'emploi. Identifier les problèmes, c'est bien, les faire corriger, c'est encore mieux.

Vidéo

Documents

Article

354,4ko