La sécurité des systèmes d’information

La sécurité des systèmes d’information

La sécurité des systèmes d’information 4.00/5 (80.00%) 2 votes

Qu’il s’agisse d’informations internes, de fichiers clients ou de simples « agréments», la fuite de données est aujourd’hui largement en tête des incidents informatiques. « On passe en mode parano supérieur » explique Octave Klaba, le patron d’OVH, un des plus gros hébergeurs européens, qui a subi l’attaque d’un hacker avec, en prime, le vol des données de centaines de milliers de clients.

Partant de ce constat, il est aujourd’hui primordial pour les entreprises de prendre des mesures sérieuses pour éviter ce type d’intrusion et pour protéger les documents confidentiels, les secrets de fabrique, les fichiers. Et la sophistication de ces mesures dépend du profil de risque de chaque entité … tout en sachant qu’une protection intégrale, à 100%, est impossible.

Notamment parce que c’est un processus qui concerne une chaine d’éléments : les infrastructures matérielles, les logiciels, les données, le comportement des utilisateurs… dont la maîtrise totale est illusoire. Sans compter les petits « surdoués » mal intentionnés qui savent anticiper les failles d’un système. Pourtant, des process de sécurité, des précautions mais aussi du simple bon sens peuvent suffire à éviter le pire. Décryptage :

1. Identification des dangers potentiels

Par convention, on désigne par «Système d’Information» (SI), l’ensemble des ressources (matériel, logiciels, salariés, données, procédures) qui permettent de stocker, traiter ou diffuser les informations au sein d’une organisation : entreprise, administration, Etat…. A l’origine du concept, ou du moins de son regain, se trouvent les NTIC qui permettent aujourd’hui d’automatiser et de dématérialiser à grande échelle nombre de données et de procédures.

Par voie de conséquence, le concept de sécurité des systèmes d’information recouvre l’ensemble des méthodes, techniques et outils chargés de protéger ces ressources afin d’assurer à la fois leur disponibilité, leur efficacité, leur confidentialité et leur intégrité.

11) Des causes d’incidents accidentelles ou délibérées

Identifier les dangers potentiels, c’est déjà résoudre la moitié du problème. Sachant que les principales menaces auxquelles un système d’information peut être confronté émanent soit :

  • des utilisateurs du système, à l’origine de la majorité des problèmes liés à la sécurité d’un SI. Non par volonté mais par simple insouciance ou méconnaissance.
  • d’une personne malveillante qui s’introduit dans le système pour lui-même ou pour autrui.
  • d’un programme non abouti (failles) ou malveillant, à savoir un logiciel installé volontairement sur le système, ouvrant la porte à des intrusions.
  • d’un sinistre : vol, incendie, dégât des eaux entraînant la perte du matériel et/ou de données.

12) 20 méthodes d’attaque… soit 20 raisons de s’inquiéter

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANNSI) répertorie au moins vingt méthodes d’attaque visant à pirater ou à mettre HS un Service d’Information :

  • La destruction pure et simple du matériel ou des supports par sabotage ;
  • Le vol de matériels : les ordinateurs et notamment les ordinateurs portables ;
  • Le vol d’informations (messages, répertoires, fichiers, mot de passe, données personnelles…) par copie des supports physiques sur CD ou clé USB, listings rangés ou abandonnés imprudemment dans les bureaux, les armoires, les tiroirs…
  • L’utilisation illicite des matériels via une mauvaise gestion des protections informatiques, ou via une « mystification » qui permet de s’emparer du nom et mot de passe d’un utilisateur légitime ou encore via une « trappe », c’est à dire une fonctionnalité utilisée par les développeurs pour faciliter la mise au point de leurs programmes. Lorsqu’elle n’est pas enlevée avant la mise en service du logiciel, elle peut être repérée et servir de point de contournement des mesures de sécurité ;
  • L’abus de droit concerne un utilisateur/bénéficiaire de privilèges systèmes ou applicatifs qui utilise sa délégation de pouvoir pour des usages malveillants; ou, plus simplement, lorsqu’une personne se fait passer occasionnellement pour une autre en usurpant son identité ;
  • La méthode « Salami » qui consiste à collecter des informations de manière parcellaire et imperceptible, pour ne pas se faire repérer ;
  • La divulgation de données par un membre du personnel qui souhaite se venger ;
  • Le chantage : menace exercée en vue d’extorquer une information « sensible » ;
  • L’écoute passive qui consiste à se placer sur un réseau informatique ou de télécom pour y collecter les informations ;
  • L’analyse de supports recyclés ou mis au rebut, autrement dit la « fouille des poubelles » ou des archives, ou le détournement des processus de maintenance ;
  • « L’hameçonnage » qui consiste à obtenir une information confidentielle (nom utilisateur, code d’accès…) en prétextant une demande ou en faisant miroiter un pseudo-avantage ;
  • Le faufilement quand une personne non autorisée franchit un contrôle d’accès en même temps qu’une personne autorisée
  • Le piégeage du logiciel à savoir un programme dormant (bombe) dont la mise en oeuvre est conditionnée par l’éventualité d’un événement ou par une date. Ces fonctions cachées sont introduites à l’occasion de la conception, de la fabrication, du transport ou de la maintenance du SI ;
  • L’envoi d’un virus (ou d’un ver) capable de se répandre par réplication à l’intérieur du SI ;
  • L’exploitation d’un défaut (bogue/bug) : la plupart des logiciels, en particulier les logiciels standards comportent des failles de sécurité qui constituent autant d’opportunité d’intrusion, via Internet. Jean-Luc Archimbaud, chargé de mission à la sécurité des systèmes d’information du CNRS, le rappelle : « Les pirates recherchent systématiquement les sites mal administrés en procédant à un balayage de l’Internet avec des programmes appelés scan. Ces programmes découvrent à distance toutes les stations du réseau et testent la présence de vieilles versions des logiciels réseau sur ces stations avec des trous de sécurité connus. C’est pourquoi, veillez bien à avoir toujours la dernière version d’un logiciel ». Selon lui, on trouve sur Internet des sites proposant des programmes complets accompagnés de toutes les explications pour pénétrer les systèmes en utilisant les trous de sécurité connus ;
  • Le Cheval de Troie est un programme introduit dans un SI comportant une fonctionnalité cachée connue du seul agresseur. Ce dispositif permet de contourner les contrôles de sécurité en se faisant passer pour un utilisateur interne ;
  • Le Spyware est un logiciel espion installé sur une machine dans le but de collecter discrètement les informations ;
  • La saturation du système informatique, via par exemple l’envoi massif de spams, entrainant dégradation du temps de réponse, génération d’erreurs…
  • L’émission d’un canular (Hoax) : information sans garantie d’origine visant à perturber gravement l’organisation de l’entreprise.
  • Les rayonnements électromagnétiques : attaque de haut niveau qui consiste à brouiller les données informatiques. Surtout utilisé par les militaires en temps de crise ou de guerre.

13) Huit profils d’agresseurs

La Direction centrale de la sécurité des systèmes d’information propose au moins huit profils d’agresseurs potentiels :

  • Le hacker pirate par jeu, par défi et pour la prouesse technique. Il ne cherche pas forcément à nuire et possède souvent un code d’honneur et de conduite ;
  • Le cracker (casseur) cherche clairement à nuire, souvent par vengeance personnelle, quelque fois sur commande ;
  • Le cracker en col blanc détourne des fonds, vole des brevets ou des fichiers commerciaux…
  • Le fraudeur externe cherche à extorquer des fonds et son profil est proche de celui du malfaiteur traditionnel. Certains sont liés à la mafia tandis que d’autres falsifient seulement leur facture d’électricité ou de téléphone.
  • Le fraudeur interne veut nuire à son employeur, souvent par frustration, sentiment d’exclusion, manque de reconnaissance…
  • Le militant est motivé par une idéologie ou une religion. Ses actions peuvent aller de la simple diffusion massive de messages à des nuisances plus tangibles.
  • L’espion participe à la guerre économique au profit d’un Etat ou d’une entreprise concurrente. Il s’agit d’extorquer des informations ou de détruire des données stratégiques vitales.
  • Le cyber-terroriste engage des actions qui se veulent spectaculaires et très destructrices, pouvant aller jusqu’à dérégler les infrastructures économiques d’un État.

14) Les principales causes de vulnérabilités dans les entreprises

Parmi les plus sérieuses faiblesses constatées dans les organisations, on note l’absence de :

  • méthodologie de sécurité ;
  • structure organisationnelle (délégation de pouvoir…);
  • moyens de protection active ;
  • plan de sauvegarde, préalablement testé ;
  • sensibilisation et formation des salariés ;
  • connaissance de la réglementation.

2. Les parades possibles

La sécurité des systèmes informatiques dans les organisations se limite généralement à octroyer aux salariés des droits et des niveaux d’accès aux données, via des mécanismes d’authentification et de contrôle. Les sauvegardes, le fonctionnement en mode de repli, la redondance…complètent la panoplie traditionnelle mais sont aujourd’hui insuffisantes. Sachant que les erreurs ou les attaques portent surtout sur les maillons les plus faibles de la chaîne de traitement de l’information (personnel, télétraitement, logiciels, maintenance…), il est utile d’avoir à la fois une réflexion globale et parcellaire sur le sujet.

21) Etablir une politique de sécurisation des systèmes informatiques

Pour entamer une politique de sécurisation du SI plus globale, donc plus cohérente, sans pour autant brider les usages nécessaires pour les utilisateurs, l’ANNSI préconise une démarche en quatre étapes:

  • Etablir une cartographie des risques : quelles sont les données à protéger impérativement ? Les activités à risques ? D’où peuvent venir les menaces ? Quelles seraient les conséquences ?…
  •  Rechercher et sélectionner les parades : Comment sécuriser sans perdre en efficacité et productivité ? Avec quelle modélisation, quelles procédures, quel prestataire ? A quel coût ?…
  •  Mettre en œuvre les process de protection : élaborer des règles, des chartes, des procédures, des actions à entreprendre et des listes de personnes à contacter en cas d’urgence, des rôles et des responsabilités… Puis vérifier l’efficacité de ces mesures via divers tests.
  • Sensibiliser les salariés aux risques liés à la sécurité des SI.

 

PRA ou PCA

Pour minimiser les pertes de données informatiques et accroitre la réactivité d’une entité en cas de sinistre, deux solutions sont envisageables:

  • le plan de reprise d’activité (PRA) aussi appelé « reprise à froid » qui permet un redémarrage rapide avec restauration d’un système en secours avec les données de la dernière sauvegarde.
  • le plan de continuité d’activité (PCA) ou « reprise à chaud » qui, par une redondance d’infrastructure et une réplication intersites permanente des données, permet de maintenir l’activité en cas de sinistre de l’un des sites.

 

22) Les solutions techniques

Selon Frédéric Tiratay, consultant Sécurité Réseaux chez Nomios, « de nombreuses solutions de sécurité existent qui, combinés entre elles, permettent d’assurer 95% de l’infrastructure d’une entreprise ». Parmi celles-ci, on peut citer des logiciels qui permettent de repérer les requêtes douteuses puis d’analyser leur contenu et leur comportement, ou des solutions qui optimisent la sécurisation des codes d’accès et des bases de données.

Toutefois, la sophistication et la multitude des solutions techniques étant à la mesure de la complexité et de l’évolution de l’univers informatiques (ex. : la technologie du Cloud Computing), il n’est pas envisageable ici de développer davantage ce chapitre « technique ». Si ce n’est pour inviter les lecteurs intéressés à consulter les experts régionaux : voir par exemple le SPN, réSeau des Professionnels du Numérique en Poitou-Charentes.

23) Quinze conseils de bon sens pour protéger vos données informatiques

  • Ne confiez pas votre mot de passe. Si vous décidez de le dévoiler dans une situation exceptionnelle, changez le immédiatement après ;
  • Ne l’inscrivez pas sur un post-it sous le clavier, dans un agenda, un tiroir de bureau… ;
  • Imaginez un mot de passe complexe, sans rapport avec votre date de naissance ou ceux de vos enfants. Prévoyez 10 signes avec un mix de chiffres, lettres majuscules et minuscules ;
  • Dédiez des mots de passe distincts pour des usages différents. Sinon, en cas de vol, tous vos autres services en ligne seront accessibles ;
  • Changer vos codes régulièrement;
  • Ne laissez pas votre navigateur mémoriser vos mots de passe à votre place ;
  • Effectuez des sauvegardes : Avec quelle périodicité? Quelle protection ?
  • Mettez vos sauvegardes à l’abri. Ne les laissez pas à proximité du système qu’elle est sensée protéger.
  • vérifiez-les. Des sauvegardes jamais testées peuvent révéler de mauvaises surprises en restauration ;
  • Utilisez un antivirus à jour ;
  • Ne téléchargez pas n’importe quelle application. Certaines accèdent à votre localisation, à vos contacts, à vos profils sur les réseaux sociaux…
  • Ne cliquez pas sur n’importe quel e-mail. Des liens « malicieux » peuvent se dissimuler dans un environnement d’apparence normal ;
  • Effectuez les mises à jour recommandées, sauf avis contraire des spécialistes. Les mises à jour sont souvent proposées pour corriger les bugs et les vulnérabilités des logiciels;
  • Verrouillez votre ordinateur lors des pauses.
  • Soyez prudents avec les connexions Wi-Fi en accès publics ou non sécurisés. Evitez d’utiliser des sites et des applications qui requièrent des informations personnelles ou des identifications (log-in).

3. La cybersurveillance sur le lieu de travail

31) Un équilibre délicat à trouver

D’un côté, tout salarié a droit au respect de sa vie privée sur son lieu de travail, ce qui inclue le secret des correspondances. D’un autre côté, l’employeur a le devoir de protéger ses biens et ses données confidentielles.

Pour trouver le bon équilibre et éviter d’éventuels conflits mais aussi dans un souci de transparence et de loyauté dans les relations de travail, le Centre National de la Protection des Données (CNPD) conseille à l’employeur d’adopter une charte, un règlement interne relatif à l’utilisation des outils informatiques ainsi qu’aux modalités de contrôle. Il s’agit d’informer les salariés « des limites et de l’usage à des fins personnelles qu’il tolère des outils informatiques ainsi que des dispositifs mis en place et des modalités de contrôle de ces outils : il doit ainsi dire s’il autorise les salariés à utiliser une messagerie électronique, à surfer sur Internet, à créer et à disposer de fichiers personnels… ».

De telles chartes, au statut juridique mal défini, ont malgré tout leurs limites car, pour la CNIL, « elles peuvent manquer l’objectif qu’elles s’assignent lorsque, sans souci de pédagogie, elles cumulent les prohibitions de toutes sortes, y compris celles des usages généralement et socialement admis de la messagerie et d’internet à des fins privées ».

32) Contrôle de l’utilisation de la messagerie

Si « Tout courriel entrant ou sortant dans l’entreprise est présumé être reçu ou envoyé dans le cadre de la relation professionnelle », il n’en reste pas moins que, dans la pratique, nombre de messages ont un caractère personnel. « Dans ce cas, l’employeur ne peut pas ouvrir ces courriers électroniques personnels, sous peine de violer le secret des correspondances, ce qui constitue une infraction pénale ». En revanche, tout ce qui n’est pas identifié comme « personnel » est réputé être professionnel, de sorte que l’employeur peut y accéder.

Aussi, pour éviter que l’employeur ne porte atteinte à la confidentialité des messages personnels, le CNPD préconise :

  • l’installation d’une double boîte de messagerie séparant les messages personnels et les messages professionnels;
  • l’archivage des messages personnels dans un dossier appelé « personnel »;
  • l’indication claire indiquant la nature privée et personnelle dans l’objet des messages adressés et à recevoir.

Concernant les conditions de contrôle, le CNPD rappelle qu’ « un employeur ne peut pas surveiller individuellement un salarié sans avoir, au préalable, procéder à une surveillance globale et non personnelle. (à priori difficile à réaliser, NDLR). Ainsi, il peut faire dresser une liste d’adresses de sites consultés de façon globale sur une certaine période, sans identifier les auteurs des consultations ». S’il a des indices sur une utilisation préjudiciable à l’entreprise en repérant par exemple une durée anormalement élevée de consultation d’internet ou la mention d’adresses de sites suspects, il pourra alors passer à l’identification des personnes et au contenu de leurs courriels personnels.

Pour éviter d’en arriver là, la Commission nationale recommande la mise en place de moyens de protection préventifs comme le filtrage de sites non autorisés, l’interdiction de télécharger des logiciels ou l’interdiction de se connecter à des forums de discussion.

33) Cas particuliers

Un employeur peut-il accèder à la messagerie d’un salarié absent pour assurer la continuité des affaires?

Le CNPD suggère d’abord d’informé le salarié concerné ainsi que les organes représentatifs, puis de :

  • mettre en place une réponse automatique d’absence du bureau à l’expéditeur avec indication des personnes à contacter en cas d’urgence;
  • ou de désigner un suppléant qui dispose d’un droit d’accès à la messagerie de son collègue.

Que faire en cas de départ définitif du salarié ?

Il est recommandé que celui-ci :

  • transfère tous ses documents professionnels en cours à une personne prédéfinie, souvent son supérieur hiérarchique;
  • certifie par écrit avoir remis à son employeur tous ses dossiers professionnels;
  • puisse copier ses messages et documents de nature privée sur un support personnel, puis les effacer du serveur de l’entreprise;

De son côté,

  • l’employeur s’engage à bloquer tous les comptes informatiques et à effacer la boîte aux lettres du salarié dès son départ. Ainsi les interlocuteurs qui enverront un message à l’adresse bloquée seront automatiquement informés et recevront une adresse alternative.

 

Yves Guérin

 

Principales sources utilisées :

Agence nationale de la sécurité des systèmes d’information (ANSSI), Cyberworld Awareness Sécurity Enhancement, Centre National de la Protection des Données (CNPD), La documentation française, le CNRS

Réagir à cet article

comment-avatar

*