loader

Il est important de prendre un peu de recul et de considérer la sécurité dans son ensemble, pas comme une suite de technologies ou de processus remplissant des besoins bien spécifiques, mais comme une activité à part entière pour laquelle s’appliquent quelques règles (axiomes) simples.

– Pour une entreprise ou une institution connectée à l’Internet, le problème n’est pas savoir si on va se faire attaquer mais quand cela va arriver. Une solution est donc de repousser le risque dans le temps et dans les moyens à mettre en œuvre en augmentant le niveau de sécurité permettant d’écarter les attaques quotidiennes, pas forcément anodines et non spécifiquement ciblées.

– Aucun système d’information n’est 100% sûr.

Ces deux premières règles ne sont pas du tout les manifestations d’une paranoïa mais bien un simple constat qu’il est bon d’avoir toujours en tête pour ne pas se sentir à tort à l’abri de tout « danger ». En sécurité informatique, on ne parle pas d’éliminer

complètement les risques mais de les réduire au minimum par rapport aux besoins/contraintes d’affaires. Il ne faut pas oublier non plus de considérer les actions provenant de l’intérieur de l’organisation, qui forment une partie (la majorité selon certaines données) non négligeable des sources d’attaques.

La sécurité informatique : C’est quoi ?

Nous pouvons considérer que la sécurité informatique est divisé e en deux grands domaines :

– La sécurité organisationnelle

– La sécurité technique

La sécurité organisationnelle concerne la politique de sécurité d’une société (code de bonne conduite, méthodes de classification et de qualification des risques, plan de secours, plan de continuité, …).

Une fois la partie organisationnelle traitée, il faut mettre en œuvre toutes les recommandations, et plans dans le domaine technique de l’informatique, afin de sécuriser les réseaux et systèmes : cet aspect relève de la sécurité technique. Le périmètre de la sécurité est très vaste :

– La sécurité des systèmes d’information

– La sécurité des réseaux

– La sécurité physique des locaux

– La sécurité dans le développement d’applications

– La sécurité des communications

– La sécurité personnelle

– ….

Un risque se définit comme une combinaison de menaces exploitant une vulnérabilité et pouvant avoir un impact. De manière générale, les risques sont soit des causes (attaques, pannes, …) soit des conséquences (fraude, intrusion, divulgation …).

Les objectifs de la sécurité sont simples : empêcher la divulgation de données confidentielles et la modification non autorisée de données. Nous retrouvons ainsi les principes fondamentaux de la sécurité :

– La confidentialité,

– L’intégrité,

– L’authentification,

– Le contrôle d’accès,

– La non répudiation1.

Une seule entrave à l’un de ces principes remet toute la sécurité en cause.

La sécurité informatique : Pourquoi ?

Une politique de sécurité informatique mal gérée peut conduire à trois types d’impacts négatifs :

¨ La pénétration d’un réseau,

¨ Le vol ou détérioration d’informations,

¨ Les perturbations.

La pénétration d’un réseau ou système peut se faire soit par vol d’identité soit par intrusion. Ce vol d’identité peut se faire par vol du « nom d’utilisateur/mot de passe » de connexion au système d’information. Tous les moyens sont bons pour obtenir des informations. On peut citer à titre d’exemples :

¨ L’écoute des réseaux,

¨ L’ingénierie sociale2,

1 Assurance qu’un message est bien parti d’un émetteur spécifié pour arriver à un récepteur lui aussi spécifié. En fait, c’est surtout l’émetteur qui est visé, il ne peut pas « répudier » son message (dire qu’il ne l’a pas envoyé)

2 Approche utilisée afin de soutirer des informations à un utilisateur sans même qu’il ne s’en rende compte. Par exemple, voler une carte de crédit, puis téléphoner au possesseur légitime de la carte en se faisant passer pour sa banque, et lui demander son code confidentiel. Ce genre de techniques se base sur la naïveté et le manque de suspicion des gens.

Ou tout simplement le fait de regarder par-dessus l’épaule de l’utilisateur qui s’authentifie.

La pénétration d’un réseau ou système peut aussi se faire à distance ; par exemple un hacker3 peut pénétrer le réseau via un serveur de messagerie. Mais il existe d’autres méthodes moins visibles, comme l’installation d’un logiciel à l’insu de l’utilisateur, suite à la lecture d’une page web sur un site. Ainsi un script contenu dans la page web chargée, peut envoyer des messages de votre logiciel de messagerie vers d’autres personnes.

La sécurité informatique : Comment ?

Des produits existent sur le marché, qui permettent d’éviter ces problèmes. Nous trouverons par exemple des antivirus, des Firewall, du VPN, de la signature numérique, du proxy4, etc.

Chacune des ces technologies ou produits dispose d’une couverture spécifique. Par exemple, l’antivirus va permettre de bloquer les virus ou Chevaux de Troie entrants par la messagerie ou par échange de fichiers.

Le très connu firewall, dont la configuration n’est ni simple, ni rapide va permettre de filtrer les échanges entre deux réseaux afin de limiter les accès, et de détecter les éventuelles tentatives d’intrusion.

Une fonctionnalité supplémentaire a tendance à se retrouver intégrée dans les firewalls : le VPN. Celui-ci permet de garantir la confidentialité des échanges d’informations passant par son intermédiaire en chiffrant5 le flux d’informations.

Il est possible de mettre en outre une signature numérique en place. Ainsi, dans le système de messagerie, le destinataire du message sera certain de l’identité de l’émetteur et de l’intégrité6 du message. Il pourra être le seul lecteur si le message a été chiffré (clef privé e/clef publique).

Le serveur Web reste vulnérable, car accessible directement depuis l’extérieur du réseau. La mise en place d’un reverse proxy7 résout l’affaire. En effet, toute tentative de connexion au serveur Web parvient au serveur proxy, qui lui-même envoie une requête au serveur Web. Ainsi le serveur Web n’est plus accessible depuis l’extérieur du réseau.

Les certificats étant utilisés pour la messagerie, pour les VPN ou pour chiffrer les documents, il est possible de regrouper tous ces certificats dans une PKI. La PKI est un système de gestion de clef publique permettant d’en assurer la fiabilité. La PKI pose des problèmes organisationnels mais pas techniques.