Institut numerique

III.1 La sécurité de réseau informatique

III.1.1 Exigences fondamentales

La sécurité informatique c’est l’ensemble des moyens mis en oeuvre pour réduire la Vulnérabilité d’un système contre les menaces accidentelles ou intentionnelles. Il convient d’identifier les exigences fondamentales en sécurité informatique. Elles caractérisent ce à quoi S’attendent les utilisateurs de systèmes informatiques en regard de la sécurité :

1. disponibilité : demande que l’information sur le système soit disponible aux personnes autorisées.
2. Confidentialité : demande que l’information sur le système ne puisse être lue que par Les personnes autorisées.
3. Intégrité : demande que l’information sur le système ne puisse être modifiée que par les personnes autorisées.

La sécurité recouvre ainsi plusieurs aspects :

– intégrité des informations (pas de modification ni destruction)
– confidentialité (pas de divulgation à des tiers non autorisés)
– authentification des interlocuteurs (signature)
– respect de la vie privée (informatique et liberté).

Du point de vue de la sécurité informatique, une menace est une violation potentielle de la sécurité. Cette menace peut-être accidentelle, intentionnelle (attaque), active ou passive.

III.1.2 Étude des risques

Les coûts d’un problème informatique peuvent être élevés et ceux de la sécurité le sont aussi. Il est nécessaire de réaliser une analyse de risque en prenant soin d’identifier les problèmes potentiels avec les solutions avec les coûts associés. L’ensemble des solutions retenues doit être organisé sous forme d’une politique de sécurité cohérente, fonction du niveau de tolérance au risque. On obtient ainsi la liste de ce qui doit être protégé. Il faut cependant prendre conscience que les principaux risques restent : « câble arraché », « Coupure secteur », « crash disque », « mauvais profil utilisateur », « test du dernier CD Bonux »…

Voici quelques éléments pouvant servir de base à une étude de risque :

o Quelle est la valeur des équipements, des logiciels et surtout des informations
o Quel est le coût et le délai de remplacement
o Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d’analyse des paquets, logs…).
o Quel serait l’impact sur la clientèle d’une information publique concernant des intrusions sur les ordinateurs de la société

III.1.3 Établissement d’une politique de sécurité

La suite à l’étude des risques et avant de mettre en place des mécanismes de protection, il faut préparer une politique à l’égard de la sécurité. C’est elle qui fixe les principaux paramètres, notamment les niveaux de tolérance et les coûts acceptables. Voici quelques éléments pouvant aider à définir une politique :

o Quels furent les coûts des incidents informatiques passés
o Quel degré de confiance pouvez-vous avoir envers vos utilisateurs internes
o Qu’est-ce que les clients et les utilisateurs espèrent de la sécurité
o Quel sera l’impact sur la clientèle si la sécurité est insuffisante, ou tellement forte
o Qu’elle devient contraignante
o Y a-t-il des informations importantes sur des ordinateurs en réseaux
o Sont-ils accessible de l’externe
o Quelle est la configuration du réseau et y a-t-il des services accessibles de l’extérieur
o Quelles sont les règles juridiques applicables à votre entreprise concernant la sécurité et la confidentialité des informations (ex: loi « informatique et liberté », archives Comptables…)

III.1.4 Éléments d’une politique de sécurité

Il ne faut pas perdre de vue que la sécurité est comme une chaîne, guère plus solide que son maillon le plus faible. En plus de la formation et de la sensibilisation permanente des utilisateurs, la politique de sécurité peut être découpée en plusieurs parties :

III.1.4.1 Défaillance matérielle

Tout équipement physique est sujet à défaillance (usure, vieillissement, défaut…) L’achat d’équipements de qualité et standard accompagnés d’une bonne garantie avec support technique est essentiel pour minimiser les délais de remise en fonction. Seule une forme de sauvegarde peut cependant protéger les données.

III.1.4.2 Défaillance logicielle

Tout programme informatique contient des bugs. La seule façon de se protéger efficacement contre ceux-ci est de faire des copies de l’information à risque. Une mise à jour régulière des logiciels et la visite des sites consacrés à ce type de problèmes peuvent contribuer à en diminuer la fréquence. Accidents (pannes, incendies, inondations…) : Une sauvegarde est indispensable pour protéger efficacement les données contre ces problèmes. Cette procédure de sauvegarde peut combiner plusieurs moyens fonctionnant à des échelles de temps différentes :

o disques RAID pour maintenir la disponibilité des serveurs.
o copie de sécurité via le réseau (quotidienne)
o copie de sécurité dans un autre bâtiment (hebdomadaire).

La disposition et l’infrastructure des locaux peuvent aussi fournir une protection Intéressante.

Pour des sites particulièrement importants (site informatique central d’une banque…) il Sera nécessaire de prévoir la possibilité de basculer totalement et rapidement vers un site de secours (éventuellement assuré par un sous-traitant spécialisé). Ce site devra donc contenir une copie de tous les logiciels et matériels spécifiques à l’activité de la société.

III.1.4.3 Erreur humaine

Outre les copies de sécurité, seule une formation adéquate du personnel peut limiter ce problème.

Vol via des dispositifs physique (disques et bandes) : Contrôler l’accès à ces équipements : ne mettre des unités de disquette, bandes… que sur les ordinateurs où c’est essentiel. Mettre en place des dispositifs de surveillances.

Virus provenant de disquettes : Ce risque peut-être réduit en limitant le nombre de lecteur de disquettes en service. L’installation de programmes antivirus peut s’avérer une protection efficace mais elle est coûteuse, diminue la productivité, et nécessite de fréquentes mises à jour.

Piratage et virus réseau : Cette problématique est plus complexe et l’omniprésence des réseaux, notamment l’Internet, lui confère une importance particulière. Les problèmes de sécurité de cette catégorie sont particulièrement dommageables et font l’objet de l’étude qui suit.

Page suivante : III.2 Principaux défauts de sécurité

Retour au menu : LA SECURISATION DES SERVEURS DES DONNEES DE L’ENTREPRISE SOUS ISA SERVEUR 2006