1.1 Exigences fondamentales
La sécurité informatique c’est l’ensemble des moyens mis en oeuvre pour réduire la vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles. Il convient d’identifier les exigences fondamentales en sécurité informatique. Elles caractérisent ce à quoi s’attendent les utilisateurs de systèmes informatiques en regard de la sécurité :
1. disponibilité : demande que l’information sur le système soit disponible aux personnes autorisées.
2. Confidentialité : demande que l’information sur le système ne puisse être lue que par les personnes autorisées.
3. Intégrité : demande que l’information sur le système ne puisse être modifiée que par les personnes autorisées.
La sécurité recouvre ainsi plusieurs aspects :
• intégrité des informations (pas de modification ni destruction)
• confidentialité (pas de divulgation à des tiers non autorisés)
• authentification des interlocuteurs (signature)
• respect de la vie privée (informatique et liberté).
Du point de vue de la sécurité informatique, une menace est une violation potentielle de la sécurité. Cette menace peut-être accidentelle, intentionnelle (attaque), active ou passive.
1.2 Étude des risques
Les coûts d’un problème informatique peuvent être élevés et ceux de la sécurité le sont aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin d’identifier les problèmes potentiels avec les solutions avec les coûts associés. L’ensemble des solutions retenues doit être organisé sous forme d’une politique de sécurité cohérente, fonction du niveau de tolérance au risque. On obtient ainsi la liste de ce qui doit être protégé.
Il faut cependant prendre conscience que les principaux risques restent : « câble arraché », « coupure secteur », « crash disque », « mauvais profil utilisateur », « test du dernier CD Bonux »…
Voici quelques éléments pouvant servir de base à une étude de risque :
• Quelle est la valeur des équipements, des logiciels et surtout des informations ?
• Quel est le coût et le délai de remplacement ?
• Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d’analyse des paquets, logs…).
• Quel serait l’impact sur la clientèle d’une information publique concernant des intrusions sur les ordinateurs de la société ?
1.3 Établissement d’une politique de sécurité
Suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut préparer une politique à l’égard de la sécurité. C’est elle qui fixe les principaux paramètres, notamment les niveaux de tolérance et les coûts acceptable. Voici quelques éléments pouvant aider à définir une politique :
• Quels furent les coûts des incidents informatiques passés ?
• Quel degré de confiance pouvez vous avoir envers vos utilisateurs interne ?
• Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité ?
• Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte qu’elle devient contraignante ?
• Y a-t-il des informations importantes sur des ordinateurs en réseaux ? Sont-ils accessible de l’externe ?
• Quelle est la configuration du réseau et y a-t-il des services accessibles de l’extérieur ?
• Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la confidentialité des informations (ex: loi « informatique et liberté », archives comptables…) ?
1.4 Éléments d’une politique de sécurité
Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus solide que son maillon le plus faible. En plus de la formation et de la sensibilisation permanente des utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :
– Défaillance matérielle : Tout équipement physique est sujet à défaillance (usure, vieillissement, défaut…) L’achat d’équipements de qualité et standard accompagnés d’une bonne garantie avec support technique est essentiel pour minimiser les délais de remise en fonction. Seule une forme de sauvegarde peut cependant protéger les données.
– Défaillance logicielle : Tout programme informatique contient des bugs. La seule façon de se protéger efficacement contre ceux-ci est de faire des copies de l’information à risque. Une mise à jour régulière des logiciels et la visite des sites consacrés à ce type de problèmes peut contribuer à en diminuer la fréquence.
– Accidents (pannes, incendies, inondations…) : Une sauvegarde est indispensable pour protéger efficacement les données contre ces problèmes. Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des échelles de temps différentes :
• disques RAID pour maintenir la disponibilité des serveurs.
• copie de sécurité via le réseau (quotidienne)
• copie de sécurité dans un autre bâtiment (hebdomadaire)
La disposition et l’infrastructure des locaux peut aussi fournir une protection intéressante.
Pour des sites particulièrement important (site informatique central d’une banque…) il sera nécessaire de prévoir la possibilité de basculer totalement et rapidement vers un site de secours (éventuellement assuré par un sous-traitant spécialisé). Ce site devra donc contenir une copie de tous les logiciels et matériels spécifiques à l’activité de la société.
– Erreur humaine : Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce problème.
– Vol via des dispositifs physique (disques et bandes) : Contrôler l’accès à ces équipements : ne mettre des unités de disquette, bandes… que sur les ordinateurs où c’est essentiel. Mettre en place des dispositifs de surveillances.
– Virus provenant de disquettes : Ce risque peut-être réduit en limitant le nombre de lecteur de disquettes en service. L’installation de programmes antivirus peut s’avérer une protection efficace mais elle est coûteuse, diminue la productivité, et nécessite de fréquentes mises à jour.
– Piratage et virus réseau : Cette problématique est plus complexe et l’omniprésence des réseaux, notamment l’Internet, lui confère une importance particulière. Les problèmes de sécurité de cette catégorie sont particulièrement dommageables et font l’objet de l’étude qui suit.
1.5 Principaux défauts de sécurité
Les défauts de sécurité d’un système d’information les plus souvent constatés sont :
• Installation des logiciels et matériels par défaut.
• Mises à jours non effectuées.
• Mots de passe inexistants ou par défaut.
• Services inutiles conservés (Netbios…).
• Traces inexploitées.
• Pas de séparation des flux opérationnels des flux d’administration des systèmes.
• Procédures de sécurité obsolètes.
• Eléments et outils de test laissés en place dans les configurations en production.
• Authentification faible.
• Télémaintenance sans contrôle fort.
1.6 Éléments de droits
Intrusions informatiques : loi « Godfrain » du 5/1/88
Art. 323-1. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 € d’amende.
Art. 323-2. Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 45 000 € d’amende.
Art. 323-3. Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois ans d’emprisonnement et de 45 000 € d’amende.
Loi 78/17 du 6/01/78 relative à l’informatique, aux fichiers et aux libertés Article 29 Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
Voir aussi la Directive 95/46/CE du 24 octobre 1995 article 17 (sécurité des traitements) LSQ (Loi sur la Sécurité Quotidienne) dont on attend les décrets…