Vijaya Chari (Université Paris Dauphine): La séparation des flux est primordiale

Par Rédaction, secuobs.com
Le 05/11/2003

---

Résumé : Titulaire d'un doctorat d'informatique de l'université Paris VII, Vijaya Chari a longtemps travaillé, en collaboration avec l'association française de normalisation AFNOR, sur les techniques de description formelle et la normalisation OSI. Elle est aujourd'hui responsable sécurité des systèmes informatiques (RSSI) à l'université Paris-Dauphine. - Lire l'article



Titulaire d'un doctorat d'informatique de l'université Paris VII, Vijaya Chari a longtemps travaillé, en collaboration avec l'association française de normalisation AFNOR, sur les techniques de description formelle et la normalisation OSI. Elle est aujourd'hui responsable sécurité des systèmes informatiques (RSSI) à l'université Paris-Dauphine.

Pouvez vous décrire brièvement l'infrastructure réseau de L'université Paris-Dauphine ?

Le réseau de l'université Paris-Dauphine s'appuie sur le Réseau Académique Parisien (RAP) qui relie l'ensemble des établissements d'enseignements supérieurs et de recherche parisiens, l'INSERM, le CNRS, le CROUS et la cité universitaire. RAP est basé sur une infrastructure optique en "fibre noire" et DWDM (Dense Wavelength Division Multiplexing) assurant une qualité de service optimale et un large spectre de services adaptables aussi bien au niveau des protocoles (ATM et IP) que des débits (Gigabits).


Existe-t'il aujourd'hui une collaboration au sein de ces organismes sur les problématiques sécurité ?

Il existe un réseau de correspondants sécurité CERT-RENATER qui s'appuie sur les structures des organismes membres du GIP RENATER (CEA, CNES, CNRS, INRIA, Universités).


Comment s'organise cette collaboration ?

CERT-RENATER travaille avec des experts techniques aptes à résoudre les problématiques sécurité au sein de la communauté. Chacun des organismes contractant désigne un ou plusieurs correspondants qui seront les interlocuteurs privilégiés du CERT.


Concrètement quelles actions sont mises en oeuvre au sein de cette communauté afin de faciliter votre travail quotidien ?

Le CERT-RENATER est avant tout à l'origine de la diffusion d'informations provenant de sources compétentes sous forme de bulletins, de notes, de recommandations (patch) ou d'alertes via une liste de diffusion regroupant l'ensemble des acteurs. Ces acteurs ont, en retour, le devoir d' informer leur organisme de tutelle et le CERT-RENATER de toute alerte (piratage, virus) les touchant. Le CERT-RENATER pourra alors avoir un rôle de conseil tout en assurant la propagation de l'information à destination de la communauté en accord avec le responsable sécurité du site attaqué. Le CERT-RENATER publie un rapport hebdomadaire fournissant des statistiques sur le nombre d'attaques, les types d'attaque et les principales informations à connaître (patch, vulnérabilité, virus).


Vous arrivent-t'il de vous rencontrer ?

Oui effectivement, depuis 1995 et ce tous les 2 ans, nous nous rencontrons au sein de JRES (Journées Réseau et Sécurité), conférence francophone réunissant les responsables réseaux et système des établissements d'enseignements supérieurs et de recherche, afin de compléter nos connaissances et de partager nos expériences. Ces journées contribuent au déploiement de nouvelles technologies et de nouveaux usages dans le monde des réseaux. Cette année la manifestation se tiendra du 17 au 21 Novembre 2003 au Grand Palais de Lille.


Autrefois considéré comme des cibles privilégiées pour les hackers débutants ou pour les initiés cherchant des relay, pensez-vous que les universités françaises soient toujours aussi vulnérables ?

Non, les mentalités ont beaucoup progressées et la sécurité est aujourd'hui plus que jamais un impératif pour les universités françaises. L'ensemble de la communauté universitaire est bien conscient que l'informatique est notre outil de travail privilégié, que nous détenons des données sensibles que nous devons protéger et que nous avons une responsabilité dans l'assurance de la sécurité informatique de la société économique.

Les difficultés que nous rencontrons tiennent à la diversité des acteurs et de leurs besoins qui sont parfois contradictoires avec une sécurité optimale, ou en tous cas le paraissent à première vue. Les solutions mises en place communément ne sont pas toujours adaptées et nous devons donc être un peu imaginatifs pour trouver des solutions qui concilient sécurité et diversité.


Les virus, représentent-ils pour vous un risque plus important que les tentatives de piratage ?

Dû au grand nombre de postes clients et de serveurs, l'éradication d'un virus à l'intérieur d'une infrastructure comme celle de l'université Paris-Dauphine nécessite la collaboration et la concertation de l'ensemble de l'équipe sécurité (dix collaborateurs du CRIC plus la vingtaine de correspondants sécurité des différents services de l'Université).

Dans le cas d'une attaque d'infrastructure, le problème est d'en cerner l'origine. La résolution implique généralement moins de ressources humaines et de temps à y consacrer grâce aux backups des machines importantes effectués régulièrement.


Quels sont les moyens que vous avez mis en oeuvre pour limiter les risques ?

Des solutions standards comme la mise en place de systèmes de détections d'intrusions, des firewalls, des systèmes de filtrage de contenu et de passerelles antivirales mises à jours régulièrement sont implantées.

Ces outils sécuritaires fonctionnent en complément d'applications de métrologie (Netmet, MRTG) et de gestion des traces qui permettent de cerner les origines d'incidents.

Nous effectuons également un gros effort de sensibilisation des utilisateurs (règles de définition des mots de passe, confidentialité des informations sensibles, méfiance vis-à-vis des pièces jointes, risques liés à l'utilisation des réseaux P2P et des messageries instantanées). Cette sensibilisation s'opère aussi par la diffusion et la signature d'une charte d'utilisation des ressources informatiques et réseau à destination de tous les membres de l'Université (personnel et étudiants).

La séparation des flux est elle aussi primordiale. Elle passe par l'installation d'une zone démilitarisée (DMZ) permettant d'isoler l'ensemble des services accessibles depuis l'extérieur de l'Université (Mail, DNS, WWW) du réseau interne accédant aux informations les plus sensibles. S'y ajoute la sécurisation de l'accès physique aux machines sensibles.


Que pensez vous des produits open source dédiés à la sécurité ?

L'Open Source est une arme à double tranchant qui permet à la fois aux pirates et aux développeurs d'y repérer des failles, mais aussi de développer des patchs pour ces solutions. Nous ne privilégions ni les produits Open Source ni les produits commerciaux, tout dépend du contexte d'utilisation, de la qualité des produits et de la faisabilité de mise en exploitation de ces produits.


Envisagez vous de mettre en place des technologies WIFI au sein de l'établissement ?

Par la force des choses, nous envisageons effectivement de mettre en place ce type de technologie au sein de l'université avec une organisation basée sur des bornes centrales offrant des services d'authentification.


Comment appréhendez vous la problématique sécurité liée au déploiement de telles technologies au sein de l'établissement ?

L e WIFI ne propose pas aujourd'hui de solutions vraiment satisfaisantes en terme de sécurité (fragilité du protocole WEP) et de débit. Sur le plan des performances en tout cas, Il est peut être plus intéressant de s'intéresser au déploiement des technologies WIFI par IPV6. A l'heure actuelle, En terme de sécurité, les flux WIFI devront être séparés des autres flux.


Participez-vous au sein même de Dauphine à un cursus dédié à la sécurité ?

Un cours sur la sécurité informatique a été créé récemment. Dan ce cadre, j'ai animé une conférence de deux heures sur "La méthodologie de conduite d'un audit sécurité".


Madame Chari, je vous remercie de votre collaboration.