Institut numerique

III.2 Principaux défauts de sécurité

Les défauts de sécurité d’un système d’information les plus souvent constatés sont :

• Installation des logiciels et matériels par défaut.
• Mises à jour non effectuées.
• Mots de passe inexistants ou par défaut.
• Services inutiles conservés (NetBIOS…).
• Traces inexploitées.
• Pas de séparation des flux opérationnels des flux d’administration des systèmes.
• Procédures de sécurité obsolètes.
• Eléments et outils de test laissés en place dans les configurations en production.
• Authentification faible.
• Télémaintenance sans contrôle fort.

III.2.1 Éléments de droits de sécurité

Intrusions informatiques : loi « Godfrain » du 5/1/88

Art. 323-1. Le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 € d’amende.

Art. 323-2. Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 45 000 € d’amende.

Art. 323-3. Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou de modifier frauduleusement des données qu’il contient est puni de trois ans d’emprisonnement et de 45 000 € d’amende. Loi 78/17 du 6/01/78 relative à l’informatique, aux fichiers et aux libertés

Article 29 Toute personne ordonnant ou effectuant un traitement d’informations nominatives s’engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes les précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés. Voir aussi la Directive 95/46/CE du 24 octobre 1995 article 17 (sécurité des traitements)

Page suivante : III.3 FAILLES DE SÉCURITÉ SUR INTERNET

Retour au menu : LA SECURISATION DES SERVEURS DES DONNEES DE L’ENTREPRISE SOUS ISA SERVEUR 2006