Règles de base de sécurité
Introduction
Cet article vous donnera un aperçu de la sécurité informatique et vous
expliquera comment évaluer les problèmes qui y sont liés. L'objectif est de
donner au lecteur une idée générale des questions de sécurité, pas de
détailler tous les dangers et moyens de contrôle.
La sécurité informatique est un concept très large dont les éléments
seront abordés ici. Des failles dans la sécurité informatique peuvent
provoquer des accès non-autorisés à des ressources, une intrusion de virus,
des vols de données ou une destruction des infrastructures technologiques.
L'exposition médiatique a fait croire au public que la plupart des
violations de sécurité étaient le fait de hackers, de personnes externes,
alors que beaucoup d'actes non-autorisés, dont des actes malveillants, sont
effectués par des employés mécontents ou des "gens de l'intérieur". Ceci
illustre l'importance de sécuriser les ressources informatiques contre les
attaques extérieures et intérieures. L'étude sur la sécurité d'Information
Week menée récemment par PricewaterhouseCoopers LLp, détaille certaines
étapes que les organisations doivent accomplir pour se protéger et protéger
leurs informations.
L'étude est accessible en ligne :
Acceptable Risks
Qui est concerné ?
Il n'y a pas si longtemps, seules les grandes entreprises devaient se
sentir concernées par les problèmes de sécurité informatique. Leurs efforts
pour conserver leurs informations étaient leur principale préoccupation. Ce
n'est plus le cas. La technologie est devenue tellement importante qu'elle
affecte presque tous les aspects de la vie quotidienne. Les ordinateurs sont
au cœur de la plupart des entreprises, depuis les systèmes utilisés dans les
bourses de valeurs jusqu'au pages Web sportives qui présentent chaque jour
les résultats de la nuit précédente. Toute personne qui a une carte de
crédit ou qui utilise un distributeur automatique de billet (DAB) doit se
sentir concernée par l'exactitude et le secret de ses informations
personnelles et donc par la sécurité informatique.
Pourquoi faut-il être concerné ?
Beaucoup de facteurs ont provoqué une prise de conscience des questions
de sécurité informatique. Les PC ne sont plus utilisés exclusivement au
bureau. Le nombre de PC utilisés à la maison et pour les loisirs a très
fortement augmenté. Les possesseurs d'ordinateurs à domicile prennent un
accès Internet qui leur permet d'accéder à des ressources telles que le
World Wide Web, les newsgroups et l'email. Les utilisateurs à domicile et
les entreprises sont aussi attirés par le shopping online, (ou commerce
électronique) parce que c'est pratique, simple et fiable. L'omniprésence et
l'acceptation des ordinateurs a très fortement augmenté le nombre de
personnes ayant la capacité de corrompre des données.
Avec les prix qui continuent à baisser et les gens qui sont de plus en
plus à l'aise avec la technologie, la confiance que l'on porte aux
ressources informatiques va continuer à augmenter. Et alors que les
ordinateurs occupent une place de plus en plus importante, les problèmes de
sécurité peuvent provoquer des catastrophes ayant des ramifications
financières et légales. Au minimum, une faille de sécurité provoquera des
pertes de temps et une perte de productivité pendant qu'une opération de
nettoyage est en cours. Mais plus que probablement les résultats seront
pires : des pertes financières aussi bien que des conséquences non
financières. Par exemple, si un cabinet d'avocat a des fuites d'informations
confidentielles et que des informations sont volées, il perdra tout sa
crédibilité et ne pourra plus attirer le moindre le client. Il peut
également encourir des amendes ou une suspension du barreau.
Il faut également se sentir concerné en raison de la surabondance de
messages de sécurité dans les listes de distribution, les newsgroups, les
pages Web consacrées à des bulletins de sécurité. Toutes ces annonces
peuvent provoquer de l'inquiétude aux responsables de sécurité informatique
en raison de leur multitude et de l'incertitude quant à leur fiabilité.
Déterminer quelles sont les bonnes sources d'informations de sécurité et
éliminer les fausses alertes nécessite du temps et de la recherche.
Les objectifs de sécurité
Une sécurité informatique efficace repose sur 3 éléments principaux :
confidentialité, intégrité et disponibilité.
Confidentialité
On appelle confidentialité le fait selon lequel l'information n'est pas
accessible à ceux qui n'en ont pas l'autorisation. Des contrôles stricts
doivent être mis en place pour assurer que seules les personnes ayant besoin
d'accéder à certaines informations puissent y accéder. Dans certaines
situations, telles que celles concernant des informations confidentielles et
secrètes, les gens ne devraient avoir accès qu'aux données nécessaires à
l'exercice de leur fonction. Beaucoup de crimes informatiques concernent des
fuites et des vols d'informations confidentielles.
On appelle contrôle d'accès le fait de n'autoriser l'accès aux
informations et aux ressources qu'à ceux qui en ont besoin.
La forme de contrôle d'accès la plus courante est l'utilisation de mots
de passe; et la forme la plus courante des infractions de sécurité concerne
ces mots de passe. Exiger des mots de passe "forts", des cartes à puce ou
des dispositifs de mots de passe à usage unique (tokens) est le premier pas
pour empêcher des personnes non autorisées d'accéder à des informations
sensibles et est la première barrière de défense du contrôle d'accès.
Protéger ces mots de passe est l'un des principes fondamentaux de la
sécurité informatique.
Imaginez que votre entreprise est un pavillon de banlieue typique. Un
système de mots de passe peut être comparé à la clé de la porte d'entrée.
Personne ne peut pénétrer dans la maison sans la clé, mais celle-ci peut
facilement être perdue ou volée. La mise en place d'une politique de mots de
passe résistants ne nécessite pas de compétences techniques et devrait être
prise très au sérieux. Les entreprises devraient créer et mettre en place
des politiques de sécurité informatique qui enseignent aux employés la
manière de choisir un mot de passe, sa durée d'utilisation et sa
confidentialité.
Un autre aspect du contrôle d'accès est la limitation des ressources
disponibles pour un employé une fois qu'il a été authentifié sur le réseau
d'entreprise. Par exemple, tout le département des ressources humaines peut
avoir besoin d'accéder aux informations concernant les adresses et dates de
naissances des salariés, mais seules certaines personnes dans le département
ont besoin d'avoir accès aux informations salariales. De même certains
peuvent être autorisés à voir les informations mais pas à les modifier. Ce
contrôle d'accès très spécifique constitue une barrière de défense
supplémentaire pour vos ressources informatiques. Le contrôle d'accès peut
également être comparé à notre pavillon de banlieue. La femme de ménage à
une clé de la porte d'entrée de façon à ce qu'elle puisse entrer et
nettoyer, mais cette clé ne lui permet pas d'ouvrir la porte de votre
bureau. De même la femme de ménage ne connaît pas la combinaison du coffre
qui contient des documents importants.
Intégrité
L'intégrité assure que l'information ne peut être modifiée de manière
inattendue. Une perte d'intégrité peut provenir d'une erreur humaine, d'une
manipulation intentionnelle ou même d'une catastrophe. Les conséquences
liées à l'utilisation d'informations inexactes peuvent être désastreuses.
Des données, si elles ont été modifiées de façon incorrecte peuvent devenir
inutiles, ou pire, dangereuses. Des efforts doivent être faits pour assurer
l'exactitude et la solidité des données.
Lorsque la validité de l'information est critique, il est souvent utile
de mettre en place des contrôles et des vérifications. Il peut être
important de s'assurer que l'information est inutilisable si elle est volée.
Le cryptage est le processus qui transforme l'information dans un format
secret pour éviter que des personnes non autorisées puissent l'utiliser si
elles arrivaient à s'en emparer.
Une politique de sécurité informatique bien équilibrée aura des
composants proactifs et réactifs complémentaires. La partie proactive
comprend l'utilisation de contrôles de sécurité forts, alors que l'approche
réactive inclut l'analyse et la surveillance de ces contrôles. Dans cette
approche, le composant proactif peut être un système configuré de façon
appropriée qui enregistre tous les accès système dans un log.
L'administrateur réseau exécute le composant réactif en vérifiant ces logs
pour chercher une activité suspecte ou tout élément anormal. Il est
nécessaire de prendre ces deux approches pour avoir un contrôle de sécurité
efficace. Imaginez que chaque fois qu'une porte de votre maison est ouverte,
l'heure et le nom de la personne soit enregistrés. Ainsi, si quelque chose
manque dans une pièce, vous pouvez consulter le document d'enregistrement,
voir qui était dans la pièce concernée et lui poser des questions.
Disponibilité
La disponibilité empêche les données d'être supprimées ou de devenir
inaccessibles. Cela s'applique non seulement aux informations mais aussi aux
machines en réseau ou à d'autres aspects de l'infrastructure technologique.
L'impossibilité d'accéder à des ressources requises est appelée un refus de
service (Denial of Service). Des attaques intentionnelles contre des
systèmes informatiques ont souvent pour but de désactiver l'accès aux
données, et occasionnellement le but est le vol de ces données. Ces attaques
sont lancées pour diverses raisons dont des motivations politiques et
économiques. Dans certains cas, les comptes de courrier électronique sont
inondés de messages non désirés, que l'on appelle des spams, pour protester
contre quelque chose ou pour promouvoir une cause. En plus, ces attaques
peuvent faire partie intégrale d'une action globale dont le but est par
exemple de mettre à terre un système bancaire.
Assurer la sécurité physique d'un réseau ou d'un système est une des
manières d'assurer sa disponibilité. En limitant l'accès physique aux
machines ou aux sources de données critiques, les risques d'inaccessibilité
seront réduits. Si le contact avec ces ressources est restreint, les
accidents ainsi que les cas de malveillances internes diminueront également.
De même, protéger le réseau électroniquement est important si beaucoup de
points d'entrée existent. Par exemple, un firewall est un ordinateur qui se
situe entre un réseau interne, ou intranet et un réseau externe tel que
l'Internet. Le firewall régule et restreint quel type de données peuvent
passer entre les deux réseaux.
Imaginez qu'à la base du chemin qui mène à votre maison il y ait une
porte avec un gardien. Ce gardien agit comme un firewall, limitant ceux qui
peuvent entrer sur le terrain. Donc, si votre enfant perd sa clé, l'intrus
qui trouverait la clé ne pourrait entrer car le gardien l'empêcherait
d'approcher.
Un autre aspect de la disponibilité est d'assurer que les ressources
nécessaires sont utilisables quand et où elles sont nécessaires. Fournir des
redondances systèmes, sous la forme de données, machines et sources
d'électricité de secours assurera souvent la disponibilité. Le stockage de
données critiques hors-site permettra de les récupérer en cas de problèmes.
En plus des serveurs de secours permettront une poursuite du travail normal
si la sécurité du réseau primaire est menacée. Si ces formes de sécurité
assurent la disponibilité, il est important de protéger les données des
intrus et de maintenir leur confidentialité. Si nous nous référons à notre
exemple, supposons que vous gardiez des copies de vos documents importants
(certificats de naissance, testament, actions, etc) dans un coffre à la
banque. En cas de catastrophe dans votre maison, vous aurez toujours accès à
ces documents.
Vous devez évaluer et formuler une stratégie de sécurité en vous
focalisant sur ces trois objectifs. En fonction des besoins de votre
entreprise, une importance différente devrait être accordée à chaque
objectif. Par exemple, les politiques de sécurité d'un système de défense
national placeront une très grande importance dans la confidentialité, les
informations stratégiques devant être protégées. Le système de transfert de
fonds d'une banque a un grand besoin d'intégrité, les comptes bancaires
devant être justes. Enfin, un système d'urgence médicale mettra l'emphase
sur la disponibilité, les informations et les ressources devant être
disponibles en permanence et de partout.
Eléments à considérer
Lorsque vous développez une politique de sécurité, il faut prendre garde
d'identifier et de comprendre les problèmes de sécurité appropriés et
valides. Souvent des ressources peuvent être perdues car on réagit face à
des canulars de haut niveau pendant que de réels problèmes de sécurité
passent inaperçus.
Pour évaluer l'efficacité d'une politique de sécurité spécifique, les
ressources à protéger doivent être analysées. Les informations stockées dans
les ordinateurs vont de pair avec les données du domaine public, comme les
numéros de téléphone, jusqu'à des données hautement sensibles, comme des
codes génétiques. Il n'est ni pratique, ni possible de sécuriser toutes ces
informations. Le but est de protéger les informations en fonction de leur
valeur relative et de leur importance dans le processus de l'entreprise.
Une politique de sécurité informatique bien préparée devrait se
concentrer sur le fait que les employés n'aient accès qu'aux informations
dont ils ont besoin pour l'exercice de leur fonction. Ceux qui ont besoin de
voir les informations devraient avoir l'autorisation, et seuls ceux qui ont
besoin de les modifier devraient en avoir le droit. Contrôler qui a un accès
en lecture seule assure que les informations telles que les salaires
demeurent confidentielles. Contrôler qui a un droit d'écriture assure qu'une
perte d'intégrité n'est pas le résultat d'une modification d'information. Si
les bonus des employés sont basés sur les compensations, le fait de changer
les informations de compensation provoquera des erreurs dans les bonus
payés.
La première considération importante lors de la création des politiques
de sécurité est le niveau de sensibilité des données que vous protégez. Par
exemple, une base de données publique avec des numéros de téléphone n'a pas
besoin de contrôles de sécurité sophistiqués. Il peut être peu pratique
d'utiliser un matériel de cryptage très fort pour protéger les dates de
naissance et adresses des employés sachant que les pertes financières ou en
terme d'image au cas où les données sont corrompues ne seront pas plus
importante que le coût de mise en place de la sécurité.
Deuxièmement, les coûts relatifs, et pas seulement d'ordre financier,
doivent être pris en compte. S'il faut prendre en compte le coût même de la
solution, le temps et les efforts doivent aussi être calculés. Si la mise en
place de la sécurité entrave les affaires de l'entreprise au point que les
employés ne peuvent accomplir leur travail, alors il faut repenser cette
sécurité. De même, si les données corrompues sont rendues publiques, la
publicité négative et les pertes de marchés que vous subiriez doivent aussi
être calculées.
Bien que beaucoup de problèmes de sécurité existent, un certain nombre
d'entre eux ne sont pas valables. Il est difficile de déterminer lesquels
sont réels et lesquels sont des leurres destinés à vous distraire de failles
sécuritaires réelles. Par exemple, vous pourriez penser que vous installez
un patch système alors que vous êtes en train d'installer un cheval de troie
qui récupère des mots de passe. Un domaine dans lequel les canulars sont
légions est celui des alertes au virus. Souvent les administrateurs sécurité
passent plus de temps à discerner les canulars des alertes réelles, qu'à
travailler sur les vrais problèmes. Les canulars prennent beaucoup de temps
et coûtent chers. Des alertes validées envoyées par les équipes responsables
des réponses aux incidents ont des adresses de réponses réelles et sont
généralement signées électroniquement avec la clé de l'organisation. Vous ne
devriez jamais installer un patch ou un fichier d'une source inconnue, et
lorsque vous installez des patches validés, essayez-les toujours dans un
environnement test auparavant.
Conclusion
Alors que les individus et les organisations partagent de plus en plus
d'informations, communiquent de plus en plus par Internet, la vulnérabilité
aux attaques ou aux intrusions augmente. Autorisations, contrôles d'accès,
exigences de confidentialité sont quelques exemples des composants
technologiques disponibles dans une politique de sécurité multi-niveau.
D'autres composants importants sont la formation à la confidentialité des
mots de passe, une politique de sécurité d'entreprise et une sécurité
système physique. Plus les utilisateurs et administrateurs sécurité sont
formés, moins il y a de chances que les canulars soient pris au sérieux et
plus ces gens seront capables d'évaluer et de créer une politique de
sécurité efficace. Dans un monde en pleine évolution technologique, tout le
monde est la cible potentielle de crimes électroniques et doit se sentir
concerné par la sécurité. |