Aller au contenu principal

Protection système & hardening

Protection système & hardening

Overview

La protection système regroupe un ensemble d'outils et de pratiques visant à sécuriser et durcir les systèmes d'exploitation, en particulier les hôtes Linux. Cette catégorie couvre plusieurs domaines complémentaires de la sécurité au niveau système.

Antivirus : Les solutions antivirus comme ClamAV permettent de détecter et neutraliser les malwares sur les systèmes Linux. Bien que moins fréquents que sur Windows, les malwares Linux existent et peuvent compromettre des serveurs, notamment via des fichiers téléchargés, des emails ou des applications compromises.

Anti-rootkits : Les outils anti-rootkits (RKHunter, Chkrootkit) détectent la présence de rootkits, ces programmes malveillants qui masquent leur présence et celle d'autres logiciels malveillants. Ils analysent les signatures, les fichiers système, et les processus suspects pour identifier des compromissions.

Audit de configuration et conformité : Les outils d'audit (Lynis, OpenSCAP) analysent la configuration système pour identifier les faiblesses de sécurité, les mauvaises pratiques, et vérifier la conformité aux standards de sécurité (CIS Benchmarks, STIG, etc.). Ils fournissent des recommandations de durcissement.

Contrôle d'accès et confinement : Les mécanismes de contrôle d'accès obligatoire (MAC - Mandatory Access Control) comme AppArmor et SELinux permettent de confiner les applications en limitant leurs permissions système. Auditd enregistre les événements du noyau et les syscalls pour l'audit et la détection d'anomalies.

Positionnement par rapport aux autres rubriques sécurité

La protection système est complémentaire aux autres catégories de sécurité :

SIEM & Endpoint Security : Les SIEM collectent et analysent les logs, tandis que la protection système fournit les mécanismes de base (antivirus, audit, confinement) qui génèrent ces événements. Les deux sont nécessaires : protection en temps réel et analyse centralisée.

SAST & Dépendances : Les scanners SAST analysent le code source et les dépendances applicatives, tandis que la protection système se concentre sur la sécurité de l'OS et de la configuration système. Les deux niveaux sont nécessaires : sécurité applicative et sécurité infrastructure.

Pentest offensif : Les outils de pentest simulent des attaques pour identifier des vulnérabilités, tandis que la protection système met en place des défenses préventives. Les deux approches sont complémentaires : tests de sécurité et durcissement.

Cas d'usage typiques

  • Bastions SSH : Durcir les serveurs d'accès SSH avec AppArmor/SELinux, audit régulier avec Lynis, et détection de rootkits avec RKHunter
  • Serveurs exposés sur Internet : Protection antivirus avec ClamAV, audit de conformité avec OpenSCAP, et monitoring avec Auditd pour détecter les tentatives d'intrusion
  • Durcissement d'images système : Utiliser OpenSCAP et Lynis dans les pipelines CI/CD pour auditer et durcir les images Docker/VM avant déploiement en Kubernetes ou cloud
  • Audit de conformité sécurité : Vérifier la conformité aux standards (CIS, STIG, PCI-DSS) avec OpenSCAP et générer des rapports d'audit pour les certifications
  • Environnements critiques : Confiner les applications sensibles avec SELinux ou AppArmor pour limiter l'impact d'une compromission

La protection système est essentielle pour maintenir un niveau de sécurité élevé au niveau infrastructure, complétant les outils de sécurité applicative et de monitoring.