• 30 minutes
  • Facile
Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Introduction du cours

La sécurité de l'information vise à protéger tous azimuts l'accès aux données, dans quelque but que ce soit.

Sûreté ou sécurité ?
Du latin "securitas", ce sont 2 notions proches : la sûreté c'est un état, alors que la sécurité, c'est les conditions de protection.
On se met en sécurité pour être en sûreté. Par exemple, pendant un orage s'abriter sous un arbre n'est pas un lieu de sûreté, car on n'y est pas en sécurité.
La sécurité du SI s'assure que l'entreprise ne risque rien. En somme la sécurité c'est les conditions de la sûreté de la société.

Wikipedia définit, par exemple, la sécurité des systèmes d’information (SI) comme "l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information".

À la COGIP, on est capable de répondre facilement à ces questions :

  • Que se passe-t-il si un serveur crashe?

  • Et si on perd nos commandes, comment la production peut-elle continuer ?

  • Est-on bien protégé contre l'espionnage industriel sur notre SI ?

Les risques

Le système d'information est sujet à divers types de risques :

  • Intégrité : modification ou suppression de l'information ;

  • Confidentialité : révélation des informations à des tiers (qui ne doivent pas en avoir connaissance) ;

  • Disponibilité : de provoquer des pannes, des erreurs, voire de la malveillance.

Certains de ces risques peuvent aussi, directement ou indirectement, causer d'importants dommages :

  • Financiers (détournement, vol de N° de carte de crédit...) ;

  • Personnel, causant du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires) ;

  • D'image, désinformation, diffamation, permettre à une personne de mettre en évidence des failles de sécurité sur un serveur web...

Si un individu faisait passer les employés de la COGIP pour des ringards, imaginez notre image auprès de nos clients !

À la COGIP,  le département R&D a été la cible d'espionnage industriel. Notre système d'agrafeuse a été copié ! Heureusement, notre réactivité nous a fait devancer la concurrence, mais notre secret a été éventé avant l'heure et le manque à gagner est important.

Les causes

Causes humaines

  • La maladresse : Errare humanum est. Quelqu'un peut exécuter un traitement non souhaité, effacer involontairement des données ou des programmes...

À la COGIP, on a Roger de la compta qui lance régulièrement le traitement de fin de mois en milieu de mois (il est proche de la retraite !).

  • L'inconscience : de nombreux utilisateurs méconnaissent les risques, et introduisent souvent des programmes malveillants sans le savoir, ou effectuent des manipulations inconsidérées.

Martine, par exemple, colle un post-it avec son mot de passe sur son écran... pour ne pas l'oublier ! Gérard, lui, télécharge plein de gadgets qu'il met sur sa fenêtre de bureau ou des videos rigolotes pour faire marrer ses collègues.

  • La malveillance : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes.

Un soir, un employé de la COGIP a laissé son poste allumé. L'employé de ménage a pu utiliser son poste pour aller sur des sites... de charme. Moindre mal ! Imaginez s'il avait voulu supprimer des commandes !

 

Causes extérieures

  • Un sinistre (vol, incendie, dégât des eaux)

Il y a eu le feu au stock de la COGIP. Tout est parti en fumée. Ça aurait pu être la salle serveur. On a d'ailleurs mis un digicode pour limiter l'accès et ainsi éviter les vols.

  • Une malveillance ou une mauvaise manipulation entraînant une perte de matériel et/ou de données.

Un jour, on a eu des  travaux de voiries. Le site de production est resté plusieurs jours sans réseau, coupé du siège, et ne pouvait plus recevoir les commandes.

  • Problèmes électriques. L'alimentation électrique n'est pas à négliger.

En effet lors d'un orage, on  a eu des coupures et des surtensions qui ont abîmé serveurs et disques durs, donc l'accès aux données.

Causes techniques

  • Surchauffe : les processeurs produisent de la chaleur.

Les climatiseurs de la COGIP sont tombés en panne un week-end. La salle serveur, mal ventilée, est montée en température et les serveurs se sont mis en sécurité, en s'éteignant.

  • L'usure : elle est inévitable. En tenir compte donc !

Le disque dur du serveur de gestion de paie de la COGIP est tombé en rade... Certains n'étaient pas contents de recevoir leur salaire avec du retard.

  • Incidents liés au logiciel : des failles permettant de prendre le contrôle total ou partiel d'un ordinateur.

À la COGIP, on s'est protégé contre les failles de IE et on a été peu impacté par le problème de OpenSSH.

  • Un programme malveillant : un logiciel destiné à nuire au système.

Attaques par programmes malveillants

 

Source : Wikipedia

virus

Programme se dupliquant sur d'autres ordinateurs

worm (vers)

Exploite les ressources d'un ordinateur afin d'assurer sa reproduction

wabbit

Programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver)

cheval de Troie (trojan horse)

Programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur

backdoor

Ouvreur d'un accès frauduleux sur un système informatique, à distance

spyware (logiciel espion)

Collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers

keylogger

Programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier

Attaques par messagerie

 

Source : Wikipedia

spam

Un email non sollicité. Ils encombrent le réseau, et font perdre du temps

phishing (hameçonnage)

Un email se faisant passer pour un organisme officiel et demandant de fournir des informations confidentielles

hoax (canular)

Un  email incitant à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps. Dans certains
cas, ils incitent à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).

Attaques sur le réseau

 

Source : Wikipedia

sniffing

Technique permettant de récupérer toutes les informations transitant sur un réseau. Utilisée pour récupérer les mots de passe, et pour identifier les machines qui communiquent sur le réseau.

spoofing

Technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Utilisée pour récupérer des informations sensibles.

denial of
service (déni de service)

Technique visant à générer des arrêts de service, et ainsi d’empêcher le bon fonctionnement d’un système.

Les moyens

Conception globale

Chaque composante du SI doit être prise en compte, afin d'aborder la sécurité du SI de façon globale :

  • une "prise de conscience" par les utilisateurs de leurs responsabilités ;

  • la sécurité des données ;

  • la sécurité réseaux ;

  • la sécurité des systèmes d'exploitation (OS).

Politique de sécurité

  • Élaborer des règles et des procédures.

  • Définir les actions à mener et les personnes à contacter.

  • Sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'information.

  • Déterminer les rôles et les  responsabilités.

Plan de continuité d'activité

Il a pour but la reprise des activités après un sinistre. Il s'agit de redémarrer l'activité le plus rapidement possible avec le minimum de perte de données. Ce plan est un des points essentiels de la politique de sécurité informatique d'une entreprise.

L’analyse de risque

  • Identifier les menaces : d’origine humaine, naturelle...  internes ou externes.

  • Déduire les impacts : pour atténuer les risques.

L’analyse d’impact

C'est-à-dire évaluer un risque, son impact et en déterminer la gravité. On en déduit ainsi le temps maximal d’indisponibilité, à partir de laquelle elle est qualifiée de "gênante".

Une indisponibilité du site internet institutionnel n'a pas le même degré d'importance que le processus de prise de commande.

Sauvegarde

Objectifs de la sauvegarde

Les sauvegardes sont utiles principalement à deux choses :

  • Permettre de restaurer un système informatique suite à un incident (défaillance matériel, sinistre…).

  • Faciliter la restauration d'une partie d'un système informatique (un fichier, un groupe de fichiers, un système d'exploitation, une donnée dans un fichier, etc.) suite à une suppression accidentelle ou à une modification non désirée.

Critères de choix

Le choix d'une technique de sauvegarde se fera en prenant en compte :

  • la capacité de stockage du support (le volume d'information) ;

  • la vitesse de sauvegarde ;

  • la fiabilité du support notamment après une longue période de stockage ;

  • la facilité à restaurer les données ;

  • et bien sûr le coût de l'ensemble.

Stratégies de sauvegarde

La sauvegarde s'inscrit dans une démarche globale qui consiste à assurer la continuité d'activité d'un SI ou, en cas de défaillance, son redémarrage le plus vite possible.

Cette démarche est souvent formalisée dans un document qui peut porter des noms divers, par exemple le Plan de reprise d'activité (PRA) ou le plan de secours.

Les actions

Mesures préventives

  • Sensibiliser les utilisateurs.

  • S'assurer de "l'innocuité" des postes de travail et des serveurs.

  • Sécuriser l'accès réseau.

  • Sauvegarder les données.

  • Redondance des matériels : en doublant, on réduit le risque.

  • Dispersion des sites : un accident (incendie, tempête, tremblement de terre, attentat, etc.) a très peu de chance de se produire simultanément en plusieurs endroits distants.

  • Supervision : elle permet de déceler en amont les anomalies.

Mesures curatives

  • La reprise des données : elle doit se faire dans un laps de temps court.

  • Le redémarrage des machines.

  • Le redémarrage des applications.

Actions pour les utilisateurs

  • N'utiliser que les applications identifiées.

  • Ne pas surcharger les réseaux.

  • Respecter la confidentialité des codes d'accès.

  • Savoir reconnaître les symptômes de panne et savoir en rendre compte le plus vite possible.

  • ...

Actions pour les techniciens

  • Avoir une bonne connaissance fonctionnelle et technique du système.

  • Sauvegarder régulièrement et s'assurer que ces sauvegardes soient utilisables.

  • ...

Actions pour les responsables

  • S'assurer que les actions à conduire en cas de panne pourront être faites (par exemple, rien ne sert d'avoir des machines de secours si on ne prévoit pas la mise à jour de leur système d'exploitation).

  • ...

Exemple des actions prises à la COGIP

À la COGIP, nous avons analysé ces risques pour déterminer nos besoins et les actions à mener.

Nous avons mis en place un système de contrôle d'accès au siège, avec tourniquet et sas d'accès. Le service de comm' interne nous a aidé pour réaliser une BD pour faire prendre conscience aux utilisateurs de leurs rôles. Martine ne met plus de post-it sur son écran... plus avec son mot de passe du moins ! Roger, quant à lui, ne télécharge plus de vidéos ou d'autres applis diverses et variées, ni même ne stocke ses photos de vacances sur son espace réseau.

L'accès physique aux serveurs est sécurisé. Ils ont été délocalisés chez un prestataire spécialisé dans les datacenters. Outre les dispositifs incendie adaptés, le réseau est chez plusieurs fournisseurs d'accès Internet (FAI), le circuit électrique doublé par un générateur, et tous les serveurs sont sur des onduleurs, le temps que le générateur démarre en cas de coupure électrique.

Nous avons mis en place un serveur LDAP (annuaire d'entreprise listant utilisateurs, ressources...) avec des règles de sécurité. Le réseau est sécurisé par des firewalls, dont le paramétrage a été testé. Nous faisons des sauvegardes tous les nuits. Nous avons plusieurs sites pour notre datacenter. Les données sont répliquées d'un site sur un autre. Les NAS (Network Attached Storage : serveur de stockage de fichiers) font en plus des snapshots toutes les heures pour ces applis. Les pertes de données sont ainsi minimisées.

En cas d'incident sur les machines, nos techniciens savent exactement quoi faire. Nous avons mis en place un wiki pour recenser toutes les actions à mener, un calendrier d'astreinte, avec les numéros de téléphone des techniciens concernés/référents...
Le risque d'inondation n'est pas négligeable, puisque nous sommes sur les rives d'un cours d'eau. Des mesures ont prises en conséquences, et la salle serveur déplacée.

Nous maintenons bien sûr ces procédures à jour en les faisant évoluer. C'est une liste non exhaustive de ce que nous avons mis en place. Cela correspond à notre besoin. Une autre entreprise pourra les mettre en œuvre différemment. Néanmoins, une petite structure (une TPE ou PME par exemple) peut mettre en œuvre ces mesures. Les moyens utilisés seront juste différents, car adaptés à la taille et aux risques.

Vous connaissez maintenant ce qu'est la sécurité du SI, mais ça n'est qu'un début... ! Il faut maintenant mettre en œuvre un vrai SI sécurisé.

Il s'agit là d'un message à caractère informatif, et j'espère que c'était vraiment très intéressant.

Exemple de certificat de réussite
Exemple de certificat de réussite