Synthèse sur la sécurité du système d'information (SI) Online

Introduction du cours

La sécurité de l'information vise à protéger tous azimuts l'accès aux données, dans quelque but que ce soit.

Sûreté ou sécurité ?
Du latin "securitas", ce sont 2 notions proches : la sûreté c'est un état, alors que la sécurité, c'est les conditions de protection.
On se met en sécurité pour être en sûreté. Par exemple, pendant un orage s'abriter sous un arbre n'est pas un lieu de sûreté, car on n'y est pas en sécurité.
La sécurité du SI s'assure que l'entreprise ne risque rien. En somme la sécurité c'est les conditions de la sûreté de la société.

Wikipedia définit, par exemple, la sécurité des systèmes d’information (SI) comme "l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information".

À la COGIP, on est capable de répondre facilement à ces questions :

• Que se passe-t-il si un serveur crashe?

• Et si on perd nos commandes, comment la production peut-elle continuer ?

• Est-on bien protégé contre l'espionnage industriel sur notre SI ?

Les exemples que vous trouverez dans ce cours s'appuient sur une entreprise fictive, la COGIP, que certains d'entre vous connaissent peut-être. :)

Les données sont un capital de l'entreprise, car elles sont capitales pour l'entreprise.

La sécurité n'est confinée ni aux systèmes informatiques, ni à l'information.

5 composantes du SI doivent être prises en compte : 

• Le réseau et son équipement

• Les OS

• Les serveurs et PC

• Les applications

• Les utilisateurs

Les risques

Le système d'information est sujet à divers types de risques :

• Intégrité : modification ou suppression de l'information ;

• Confidentialité : révélation des informations à des tiers (qui ne doivent pas en avoir connaissance) ;

• Disponibilité : de provoquer des pannes, des erreurs, voire de la malveillance.

Certains de ces risques peuvent aussi, directement ou indirectement, causer d'importants dommages :

• Financiers (détournement, vol de N° de carte de crédit...) ;

• Personnel, causant du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires) ;

• D'image, désinformation, diffamation, permettre à une personne de mettre en évidence des failles de sécurité sur un serveur web...

Si un individu faisait passer les employés de la COGIP pour des ringards, imaginez notre image auprès de nos clients !

À la COGIP,  le département R&D a été la cible d'espionnage industriel. Notre système d'agrafeuse a été copié ! Heureusement, notre réactivité nous a fait devancer la concurrence, mais notre secret a été éventé avant l'heure et le manque à gagner est important.

Les causesCauses humaines

• La maladresse : Errare humanum est. Quelqu'un peut exécuter un traitement non souhaité, effacer involontairement des données ou des programmes...

À la COGIP, on a Roger de la compta qui lance régulièrement le traitement de fin de mois en milieu de mois (il est proche de la retraite !).

• L'inconscience : de nombreux utilisateurs méconnaissent les risques, et introduisent souvent des programmes malveillants sans le savoir, ou effectuent des manipulations inconsidérées.

Martine, par exemple, colle un post-it avec son mot de passe sur son écran... pour ne pas l'oublier ! Gérard, lui, télécharge plein de gadgets qu'il met sur sa fenêtre de bureau ou des videos rigolotes pour faire marrer ses collègues.

• La malveillance : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes.

Un soir, un employé de la COGIP a laissé son poste allumé. L'employé de ménage a pu utiliser son poste pour aller sur des sites... de charme. Moindre mal ! Imaginez s'il avait voulu supprimer des commandes !

La majeure partie des menaces est due à l'erreur ou la négligence humaine (utilisateurs  comme informaticiens).

Il ne faut pas les ignorer ou les minimiser.

 

Causes extérieures

• Un sinistre (vol, incendie, dégât des eaux)

Il y a eu le feu au stock de la COGIP. Tout est parti en fumée. Ça aurait pu être la salle serveur. On a d'ailleurs mis un digicode pour limiter l'accès et ainsi éviter les vols.

• Une malveillance ou une mauvaise manipulation entraînant une perte de matériel et/ou de données.

Un jour, on a eu des  travaux de voiries. Le site de production est resté plusieurs jours sans réseau, coupé du siège, et ne pouvait plus recevoir les commandes.

• Problèmes électriques. L'alimentation électrique n'est pas à négliger.

En effet lors d'un orage, on  a eu des coupures et des surtensions qui ont abîmé serveurs et disques durs, donc l'accès aux données.

Causes techniques

• Surchauffe : les processeurs produisent de la chaleur.

Les climatiseurs de la COGIP sont tombés en panne un week-end. La salle serveur, mal ventilée, est montée en température et les serveurs se sont mis en sécurité, en s'éteignant.

• L'usure : elle est inévitable. En tenir compte donc !

Le disque dur du serveur de gestion de paie de la COGIP est tombé en rade... Certains n'étaient pas contents de recevoir leur salaire avec du retard.

• Incidents liés au logiciel : des failles permettant de prendre le contrôle total ou partiel d'un ordinateur.

À la COGIP, on s'est protégé contre les failles de IE et on a été peu impacté par le problème de OpenSSH.

• Un programme malveillant : un logiciel destiné à nuire au système.

Attaques par programmes malveillants

 

Source : Wikipedia

virus

Programme se dupliquant sur d'autres ordinateurs

worm (vers)

Exploite les ressources d'un ordinateur afin d'assurer sa reproduction

wabbit

Programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver)

cheval de Troie (trojan horse)

Programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur

backdoor

Ouvreur d'un accès frauduleux sur un système informatique, à distance

spyware (logiciel espion)

Collecteur d'informations personnelles sur l'ordinateur d'un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers

keylogger

Programme généralement invisible installé sur le poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier

Attaques par messagerie

 

Source : Wikipedia

spam

Un email non sollicité. Ils encombrent le réseau, et font perdre du temps

phishing (hameçonnage)

Un email se faisant passer pour un organisme officiel et demandant de fournir des informations confidentielles

hoax (canular)

Un  email incitant à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps. Dans certains
cas, ils incitent à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).

Attaques sur le réseau

 

Source : Wikipedia

sniffing

Technique permettant de récupérer toutes les informations transitant sur un réseau. Utilisée pour récupérer les mots de passe, et pour identifier les machines qui communiquent sur le réseau.

spoofing

Technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Utilisée pour récupérer des informations sensibles.

denial of
service (déni de service)

Technique visant à générer des arrêts de service, et ainsi d’empêcher le bon fonctionnement d’un système.

Les moyensConception globale

Chaque composante du SI doit être prise en compte, afin d'aborder la sécurité du SI de façon globale :

• une "prise de conscience" par les utilisateurs de leurs responsabilités ;

• la sécurité des données ;

• la sécurité réseaux ;

• la sécurité des systèmes d'exploitation (OS).

La sécurité physique doit aussi être prise en compte, au même titre que la sécurité du matériel, afin d'éviter les sinistres (incendies, vol...).

Politique de sécurité

• Élaborer des règles et des procédures.

• Définir les actions à mener et les personnes à contacter.

• Sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'information.

• Déterminer les rôles et les  responsabilités.

La politique de sécurité doit donc être élaborée au niveau de la direction des systèmes d'information (DSI), car elle concerne tous les utilisateurs du système.

Plan de continuité d'activité

Il a pour but la reprise des activités après un sinistre. Il s'agit de redémarrer l'activité le plus rapidement possible avec le minimum de perte de données. Ce plan est un des points essentiels de la politique de sécurité informatique d'une entreprise.

L’analyse de risque

• Identifier les menaces : d’origine humaine, naturelle...  internes ou externes.

• Déduire les impacts : pour atténuer les risques.

L’analyse d’impact

C'est-à-dire évaluer un risque, son impact et en déterminer la gravité. On en déduit ainsi le temps maximal d’indisponibilité, à partir de laquelle elle est qualifiée de "gênante".

Une indisponibilité du site internet institutionnel n'a pas le même degré d'importance que le processus de prise de commande.

Mesurer ces risques en fonction de :

• la probabilité ;

• leur fréquence ;