Les menaces liées aux Systèmes d’information (SI) peuvent avoir de graves conséquences sur l’avenir économique d’une entreprise. Elles doivent donc être analysées et gérées avec pragmatisme par le responsable informatique ou le Directeur du Système d’information (DSI).
Un système d’information (SI) est constitué de deux parties : la partie matérielle (le hardware), la partie logicielle (le software) et la partie « information ». Cette dernière comprend des informations « traitantes » (le système d’application et les logiciels rassemblés sous le vocable de software) et l’information « traitée ».
Si la protection du matériel est relativement aisée, celle des données est beaucoup plus délicate.
Or, la sécurité de l’information repose sur trois piliers fondamentaux :
- La confidentialité : les informations ne doivent être accessibles qu’aux seules personnes autorisées ou habilitées.
- L’intégrité : les données (un fichier système par exemple) ne doivent être modifiées que par une action légitime et volontaire.
- La disponibilité : le système doit répondre aux sollicitations des utilisateurs autorisés (accès aux informations, action particulière…) dans le délai imparti par le cahier des charges, propre à chaque application et/ou système.
Une des principales missions des responsables du SI est donc de définir une politique de sécurité correspondant aux besoins de l’entreprise. Cet objectif peut être atteint en mettant en place des dispositifs « basics », mais essentiels et en réalisant (ou en faisant réaliser) des audits permettant de mettre en évidence des lacunes dans la définition ou l’application de la politique de sécurité.
Les 5 dispositifs essentiels
1-La protection des données personnelles
Début 2012, la Commission européenne avait manifesté sa volonté de renforcer la protection des données personnelles en imposant différentes contraintes réglementaires aux entreprises et administrations. Les sociétés stockent et échangent de plus en plus d’informations privées qui doivent être protégées. La France dispose depuis 1978 d’un cadre juridique et législatif dédié à la protection des données à caractère personnel avec les Lois de 1978 et de 2004 et la Directive européenne de 1995. La Commission européenne a décidé d’obliger les entreprises à notifier les fuites de données.
En France, le législateur va s’appuyer sur l’article 34 bis de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il précise notamment qu’en « cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés ». Cet article ne s’applique pour l’instant qu’aux opérateurs de télécommunications. Mais la volonté européenne pourrait toucher à terme d’autres secteurs. En attendant, cette volonté devrait inciter les entreprises à renforcer la sécurité des données personnelles qu’elles conservent. Elles seront d’autant plus encouragées à le faire que la CNIL a annoncé récemment une augmentation des contrôles dans les entreprises à la recherche de failles de sécurité…
2-Un réseau et un parc à jour
Sans une veille technologique permanente et conséquente, la sécurité d’une entreprise devient très vite dépassée et obsolète. La simple hygiène logicielle (recherche et applications des correctifs) requiert un temps non négligeable. Les responsables informatiques et les DSI doivent donc disposer de suffisamment de temps pour mener à bien cette veille et assurer que toutes les mises à jour ont bien été effectuées sur tous les postes.
C’est pour répondre à cette problématique que SecuriteOff proposera prochainement un service de veille. Cette newsletter hebdomadaire présentera les derniers correctifs à appliquer, des conseils liés à certaines infections virales récentes et à la jurisprudence Droit et Informatique. Si vous êtes d’ores et déjà intéressé, merci d’envoyer un email à notre service Abonnements pour recevoir un exemplaire gratuit.
3-La formation du personnel
L’installation d’antivirus et de différents logiciels de sécurité ne sert à rien si les employés commettent des erreurs, volontaires ou non. Quel que soit leur niveau dans la hiérarchie, les salariés doivent être régulièrement informés sur la sécurité informatique afin qu’ils évitent de tomber dans des pièges grossiers, mais efficaces : ne pas cliquer sur des pièces jointes à un email envoyé par un correspondant suspect, ne pas insérer dans l’ordinateur une clé USB trouvée par hasard devant son entreprise. Plusieurs tests menés par des experts ont démontré que la tentation était grande de connecter la clé pour y découvrir son contenu ; une aubaine pour les pirates qui peuvent ainsi infecter un poste de travail et ensuite infiltrer le réseau…
4-Des gardes-fous
L’utilisation d’un pare-feu est nécessaire pour assurer la protection au niveau du protocole TCP/IP, en filtrant ce dernier, mais il ne prend pas en compte les autres protocoles et services. Pour cela, il faut ajouter de nouveaux éléments et notamment un serveur proxy, que l’on peut considérer comme un pare-feu applicatif. Il va par exemple assurer les fonctions de cache de pages web, le filtrage des URL (protocole HTTP), gérer les authentifications des salariés… En gros, ce proxy va jouer le rôle de relais entre l’utilisateur (le client) et le serveur sollicité. Il va en particulier effectuer certains contrôles, le plus courant étant celui des requêtes web. L’usage d’un VPN est également fortement recommandé.
5-Les tests
Les responsables chargés de maintenir la sécurité d’un système d’information disposent d’une gamme d’outils variés pour identifier les faiblesses potentielles. Parmi ceux-ci, les tests d’intrusion sont généralement utilisés de manière à relever les vulnérabilités purement techniques (mauvaise configuration, erreurs de développement, non-application des correctifs…).
Certaines de ces faiblesses sont certes identifiables par d’autres types d’audits (entretiens, analyse de documentations, audits de configuration…), mais leur détection est souvent coûteuse en temps et en ressources. Ce qui est moins le cas des tests d’intrusion techniques. De plus, ils offrent la possibilité de dérouler des scénarii d’attaques explicites aboutissant à des résultats marquants : accès à la messagerie de n’importe quel employé de l’entreprise, à des données stratégiques, des informations concernant les ressources humaines, des contrats partenaires… Ce type d’illustration marque plus facilement les esprits des acteurs de la sécurité du système d’information (décideurs, exploitants et utilisateurs) et de tels résultats peuvent servir aux responsables dans leurs missions de sensibilisation.
Ces différents mécanismes et mesures permettent de bénéficier d’un SI sécurisé, même si une protection à 100 % n’existe pas. Mais, quels que soient les moyens humains et financiers mis en place, ils ne peuvent être efficaces que si l’entreprise a établi une politique cohérente et forme régulièrement ses salariés. La sécurité informatique est un tout qui doit être monolithique. Toute faiblesse dans le dispositif général fragilisera à terme l’ensemble. La difficulté du métier réside précisément dans la vision globale.