La sûreté des réseaux passe par la compatibilité des logiciels de sécurité

Par 18 mars 2011
Mots-clés : Smart city, Amériques
protection d'un ordinateur avec une clef

Pour optimiser la sécurisation des systèmes d'exploitation de ses organismes publics, le gouvernement américain propose de travailler sur l'interopérabilité des produits de sécurité et de bâtir un langage commun.

Il est souvent difficile d’identifier et de suivre l’ensemble des failles dans des systèmes d’exploitation différents. Pour corriger ces problèmes, le National Institute of Standards and Technology (NIST) qui dépend du Ministère du Commerce américain, propose aux agences gouvernementales et aux organisations publiques d’utiliser simultanément deux protocoles de sécurité ou SCAP (Security Content Automation Protocol). Cela pour empêcher les pirates de trouver une faille et de s’introduire dans le système. Le premier protocole propose de standardiser le format et la nomenclature des logiciels de sécurisation des réseaux. Pour ce faire, il faut avant tout une interopérabilité de l’ensemble des produits de sécurité.

Une base de données des failles relevées

L’objectif ici est que tous les produits ou systèmes existants ou futurs puissent fonctionner ensemble sans jamais rentrer en conflit. Cette méthode permet ainsi de réduire les failles dans un système qui peuvent apparaître lorsqu’une agence utilise plusieurs types de logiciels pour sécuriser ses données. C’est pour cette raison que désormais, les développeurs peuvent utiliser une base de données nommée National Vulnerability Database (NVD) qui rassemble toute les failles au niveau national mais surtout qui contient l’analyse de l’ensemble des dommages potentiels en cas d’attaques. Elle est passée de 6000 listings en 2002 à plus de 45 000 aujourd’hui et se veut consultable par l’ensemble des utilisateurs au niveau national.

Des logiciels compatibles

Pour optimiser la compatibilité des programmes, le NIST propose de coupler le précédent protocole avec un second. Il souligne en effet que l’interopérabilité sera d’autant plus efficace si les relevés de sécurité opérés au sein des structures informatiques fonctionnent sous le même langage. Ce protocole induit donc la mise en place d’un dictionnaire commun cité ci-dessus. En effet à chaque faille correspondra une identité propre qui sera référencée sous le même nom dans la base de données. Cela doit permettre d’identifier plus rapidement les risques mais surtout les priorités de sécurisation des réseaux pour l’ensemble des acteurs publics américains. 

Mentions légales © L’Atelier BNP Paribas