Sécurité des SI

1. Risques et menaces

Sécuriser les systèmes d’information et les réseaux est devenu une préoccupation majeure des entreprises. De nombreux événements, très médiatisés, ne font que renforcer cette affirmation. Le tableau 1 compare les principaux résultats d’un sondage américain du CSI/FBI (Computer Security Institute/Federal Bureau of Investigation) réalisé en 1997 et en 2002, sur les délits informatiques et la sécurité. Ces sondages ont porté sur environ cinq cents responsables de la sécurité de réseaux d’entreprise. Les données concernant les dommages financiers estimés ne peuvent être considérées comme sûres, car peu d’entreprises procèdent à une évaluation précise des pertes après attaque, généralement en raison de la difficulté que cela représente.

1.1 Menaces fréquentes

Les menaces pesant sur les réseaux d’entreprise sont de plus en plus graves. Comme le sondage précédent le montre, deux types d’incidents de sécurité se dégagent.
 Attaques de virus Environ 85% des personnes interrogées dans le sondage CSI/FBI déclarent au moins une attaque de virus en 2002.
 Vols d’ordinateurs portables Le vol d’ordinateurs portables est moins fréquent qu’une attaque de virus, mais figure parmi les principaux risques pour la sécurité des données de l’entreprise (détournement de données, de mots de passe, …)

1.2 Attaques classiques

Les attaques classiques sont :
 Intrusions dans les systèmes d’information Les attaques de systèmes d’information ont doublé au cours des sept dernières années. Ce constat est d’autant plus alarmant que la majorité des sondés déclarent être munis de pare-feux, censés empêcher ce genre d’intervention.

 Attaques par saturation Lorsque les tentatives d’intrusion échouent, les « pirates » tentent d’empêcher les utilisateurs légitimes des systèmes d’information d’y accèder. Cette forme de vandalisme est appelée « attaque par saturation » (ou Déni de service : DOS (Deny of Service).
 Accès non autorisés par un employé de l’entreprise Les accès non autorisés réalisés par des employés de l’entreprise sont courant et les conséquences peuvent être bénigne comme très destructrice.

2. Stratégie de sécurité

La sécurité est une question de gestion, et non de technologie. Les technologies les plus sophistiquées sont vouées à l’échec sans l’adoption des règles nécessaires au bon fonctionnement des dispositifs de sécurité mis en place.

2.1 Approche cohérente

L’aspect le plus important dans la gestion de la sécurité est l’adoption d’une politique de sécurité cohérente, impliquant tous les échelons de l’entreprise.

2.1.1 Initiative de la direction

La mise en place d’un système de sécurité performant dépend nécessairement d’un engagement de la direction, sans quoi les ressources et les actions entreprises risquent d’être insuffisantes. Les responsables de services des TIC doivent être pleinement gagnés à la cause.

2.1.2 Respect des consignes

Il est important de s’assurer que tout le monde est bien informé des consignes de sécurité et les respecte. La plupart des attaques profitent des brèches engendrées par des erreurs ou des oublis au moment de l’installation ou de la configuration des dispositifs de sécurité ou par un recours aux correctifs fournis par les fabricants. Ces mesures impliquent l’organisation de formations auprès du personnel.

2.2 Sécurité globale

Un système de sécurité n’est réellement efficace que s’il est global, c’est-à-dire s’il assure une protection contre toutes les possibilités d’attaques. A défaut, il ne pourra rien contre des pirates ayant trouvé ou détecté une faille précise. Les entreprises doivent envisager et trouver une parade à toutes les formes d’attaques possibles, les pirates n’ont qu’à détecter une seule faille pour infiltrer un réseau. Une manière efficace d’augmenter le niveau de sécurité d’un réseau consiste à mettre en place un dispositif composé de plusieurs lignes de défenses. L’installation de pare-feux installés à plusieurs niveaux du réseau offre plusieurs points de résistance aux attaquants.

2.3 Cycle PPR (Planification Protection Réaction)

Toute entreprise soucieuse de bien protéger ses données doit se soumettre à un cycle PPR (Planification Protection Réaction).

2.3.1 Planification

La raison d’être d’un système de sécurité est d’empêcher l’accès de personnes non autorisées, il faut par conséquent prendre en compte tous les points d’accès à mettre sous verrous et constamment rechercher des failles éventuelles sur le système en place. Il est recommandé de procéder à une analyse des risques, il est en effet inutile d’investir des sommes importantes dans la sécurité pour protéger des données ne représentant pas au moins ce coût. Il est important de comparer les coûts des systèmes de sécurité et le coût estimé des menaces.

2.3.2 Protection

Les différents dispositifs de protection doivent être sélectionnés, installés et configurés. La configuration est une opération très complexe et la moindre erreur peut rendre le dispositif complètement inefficace. Les menaces évoluent, les dispositifs doivent être mis à jour régulièrement (Pare-feux, antivirus, …) La complexité de configuration de ces systèmes de sécurité impose une vérification de leur bon fonctionnement : Audit de sécurité après installation.

2.3.3 Réaction

Même avec un bon système de protection, il est toujours possible qu’une personne mal intentionnée s’infiltre dans le système d’information de l’entreprise (Incident de sécurité). Il est donc impératif de disposer de procédures concernant la diffusion d’informations sur les incidents, l’endiguement des attaques, la restauration et la réparation des failles.

2.4 Arbitrages budgétaires

2.5.1 Analyse quantitative des risques

La gravité de la menace (pertes escomptées) est le coût d’une attaque, si elle réussit, multiplié par la probabilité qu’elle réussisse. La valeur de la protection compare la gravité de la menace au coût des contre-mesures. Si le coût annuel de la protection est inférieur à la gravité annuelle de la menace, la valeur de la protection est positive et la contre-mesure est économiquement viable. En général, une entreprise n’a pas les moyens d’appliquer toutes les contre-mesures valables. Il faut donc les hiérarchiser selon leur valeur de protection en euros et commencer par celle qui affiche la plus grande valeur. Il est également possible de choisir les dispositifs à mettre en place en fonction du retour sur investissement. Si l’on considère une période d’un an, il faut diviser la valeur de la protection par le coût du dispositif. Le pourcentage obtenu est comparable à celui du taux d’intérêt des investissements.

2.5.2 Analyse qualitative des risques

L’analyse quantitative des risques est importante mais il faut aussi faire une analyse qualitative, c’est-à-dire évaluer leur dangerosité.

2.5.2.1 Cessation des activités de l’entreprise Les attaques susceptibles de provoquer l’arrêt des activités de l’entreprise sont inacceptables. Il faut prendre en compte de telles menaces même si leur probabilité est très faible.

2.5.2.2 Perte de réputation La confiance des partenaires et clients représente une part importante de l’avantage concurrentiel d’une société (banque, …), il peut être envisageable d’installer des dispositifs de sécurité même s’ils en sont pas économiquement rentables.

3 Sécurité des postes de travail

Le piratage de serveurs devient de plus en plus difficile, les attaquants se dirigent donc vers des proies plus faciles : les postes clients. De plus en plus de postes clients, contenant les identifiants et mots de passe de leurs utilisateurs, se connectent à distance à des réseaux d’entreprise. La prise de contrôle d’un tel poste permet l’accès à l’ensemble des applications et des fichiers utilisés par le titulaire de l’ordinateur. Un seul poste client piraté suffit à court-circuiter toutes les barrières de protection d’un réseau d’entreprise (les pare-feux acceptent les connexions de ces postes). Les mises à jour de sécurité disponibles, tant pour le système d’exploitation que pour les applications utilisées (Internet Explorer, Outlook, Office, …), doivent être installées par les utilisateurs. De même, l’installation d’un antivirus est indispensable, sa mise à jour, l’analyse régulière du système ainsi que de l’ensemble des documents téléchargés (courriels, fichiers, pages Web). La limitation des logiciels clients à une liste de logiciels autorisés contribue aussi à l’amélioration de la sécurité. Les dernières versions de Windows permettent l’enregistrement automatique de mots de passe. Cette pratique dangereuse permet à n’importe quelle personne ayant un accès physique à un ordinateur d’utiliser les ressources qu’il renferme.

4 Sécurité des serveurs

4.1 Sécurisation réseau

La sécurisation des serveurs passe nécessairement par la sécurisation du réseau, il s’agit de protéger les serveurs contre les attaques externes.

4.1.1 Pare feux

Les pare-feux examinent tous les paquets entrants et choisissent de les accepter ou de les bloquer (filtrage) selon leur nature. Le filtrage entrant s’applique aux paquets circulants de l’extérieur du réseau vers l’intérieur. La même opération est effectuée en sortie (intérieur du réseau vers l’extérieur). Cette mesure de protection permet d’empêcher les connexions non autorisées à des serveurs externes. Les pare-feux se présentent à la fois sous forme de logiciels spécialisés (Check Point FireWall-1) et de matériels (CISCO Pix).

4.1.2 Translation d’adresses réseau (NAT)

Les pare-feux assurent souvent ce type de protection (Network Address Translation). Le principe est de masquer les adresses internes du réseau vis-à-vis de l’extérieur.

4.1.3 Zone démilitarisée (DMZ)

La DMZ constitue un emplacement de choix pour les serveurs publics d’une entreprise. La DMZ est une zone intermédiaire entre le ou les réseaux internes et Internet.

4.1.4 Les réseaux privés virtuels (VPN)

Lorsque les réseaux s’étendent sur plusieurs emplacements géographiques distincts, les communications sont généralement établies en passant par Internet. La construction de réseaux privés virtuels permet de sécuriser les échanges de données.

4.2 Désactivation des services superflus
Il est recommandé d’arrêter tous les services inutilisés, en effet, plus nombreux sont les services actifs, plus nombreux sont les risques d’intrusion.
D’une manière générale, il vaut mieux installer peu de services et les compléter au fur et à mesure des besoins plutôt que d’en installer trop et devoir les retirer par la suite.

4.3 Administration des comptes utilisateurs
Dans un système sécurisé, chaque utilisateur doit disposer de son propre compte. Un mode d’organisation en groupes d’utilisateurs permet d’appliquer des règles de sécurité globales à une équipe, un service ou à un ensemble d’utilisateurs souhaitant accéder aux mêmes ressources.

4.4 Administration des droits d’accès
Il faut attribuer aux comptes et groupes d’utilisateurs des droits d’accès à chaque répertoire ou fichier dont il se servent. Au moment d’attribuer des droits d’accès, le principe des droits minimaux stipule que chaque utilisateur doit bénéficier uniquement des permissions nécessaires à son travail. Il est plus sûr d’alléger des restrictions au fur et à mesure que de supprimer des privilèges avec le temps.

4.5 Journalisation
La journalisation est le fait de garder une trace de tous les événements se produisant au sein d’un système donné. Ces informations sont regroupées dans un fichier accessible par l’administrateur, ce dernier peut le consulter afin de détecter des failles de sécurité, des échecs de connexion, des tentatives de modification des droits d’accès de fichiers.

4.6 Sauvegarde
La sauvegarde est un aspect fondamental de la sécurisation des serveurs. Les serveurs contiennent toutes les données de l’entreprise.

4.7 Le chiffrement
Lors d’une intrusion, l’ensemble des fichiers et des ressources des systèmes sont accessibles. La dernière mesure possible pour empêcher leur utilisation est de les chiffrer. Le principe du chiffrement est de rendre les données inutilisables.

4.8 Vérificateur d’intégrité de fichiers
Lorsqu’un pirate parvient a s’infiltrer dans un système, il tente de remplacer certains fichiers par des chevaux de Troie ou à les infecter par des virus. Les responsables sécurité doivent être capables de déceler rapidement les changements effectués sur les ordinateurs victimes d’attaques.

5 Sécurité des communications

La sécurisation des communications permet de protéger les échanges de données entre l’entreprise et l’extérieur. Ceci concerne les courriels, les fichiers, … . Un système de chiffrement assure quatre types de protections des messages :
 Confidentialité : Assurance qu’un intrus n’est pas en mesure d’interpréter les messages interceptés.
 Authentification : Assurance que l’expéditeur d’un message est bien la personne qu’il prétend être.
 Intégrité : Assurance que les messages reçus n’ont pas été altérés en cours de transport. On peux distinguer deux principaux types de chiffrement : le chiffrement à clé symétrique et le chiffrement à clé publique.

5.1 Chiffrement à clé symétrique Les deux utilisateurs utilisent la même clé pour chiffrer et déchiffrer un message. Les principaux algorithmes de chiffrement à clé symétrique sont :
 DES (Data Encryption Standard)
 CBC (Cipher Block Chaining)
 3DES (Triple DES), AES (Advanced Encryption Standard)
 IDEA : Système PGP (Pretty Good Privacy)
 RC4

5.2 Chiffrement à clé publique Les messages envoyés par l’expéditeur sont cryptés avec la clé publique du destinataire, le destinataire déchiffre le message avec sa clé privée. Une fois un message envoyé chiffré avec la clé publique du destinataire, nul autre que lui ne peut le déchiffrer, pas même l’expéditeur.

Les principaux algorithmes de chiffrement à clé publique sont :
 RSA (Rivest Shamir Adleman)
 ECC (Elliptic Curve Cryptosystem)

5.3 Authentification Le chiffrement peut être utilisé pour vérifier l’identité de l’expéditeur d’un message. On appel prouveur l’interlocuteur essayant de démontrer son identité, l’interlocuteur responsable de la procédure d’authentification étant le vérificateur. Dans une communication à deux voies, chaque partie assume à son tour le rôle de prouveur et de vérificateur. 5.3.1 Certificats numériques Lors d’une authentification à clé publique, le vérificateur doit connaître la clé publique de son interlocuteur. Il ne doit par contre pas lui demander dans la mesure où une usurpation d’identité serait possible. Le vérificateur doit s’adresser à une autorité de certification, une instance fiable et indépendante chargée de gérer les clés publiques des interlocuteurs de confiance. L’autorité de certification procure un certificat numérique contenant le nom de l’interlocuteur et la clé publique de confiance. La norme gérant les certificats numériques est appelée X.509. 5.3.2 Infrastructures à clés publiques La gestion des clés publiques est un processus complexe : création des couples de clé publiques/clés privées, distribution des clés à l’aide certificats numériques, sécurisation des transmissions, vérification des listes de révocation de certificats, … . Les infrastructures à clés publiques (ICP ou PKI) assurent une prise en charge intégrale de la gestion des clés. Aujourd’hui, toutes les infrastructures à clés publiques sont des solutions propriétaires, incomplètes et peu compatibles entre elles, ce qui limite leur adoption.

6 Validation et contrôle du modèle de sécurité

La mise en place d’un système de sécurité est une tâche relativement laborieuse au cours de laquelle de nombreuses erreurs de configuration sont susceptibles d’être commises. Il est donc nécessaire d’effectuer des tests de sécurité pour vérifier la robustesse des dispositifs installés. Ces tests sont réalisés par des spécialistes travaillant officiellement pour l’entreprise dans le but de détecter d’éventuelles failles.

7 Continuité de l’exploitation

Chaque entreprise doit posséder un plan de continuité des activités, qui décrit la façon de restaurer au moins les activités principales après un sinistre. La première étape de réalisation d’un tel plan est d’identifier les processus majeurs de l’entreprise et de déterminer ceux à restaurer en priorité. Il est important d’identifier les interrelations des processus pertinents. La hiérarchisation des processus permettra de déterminer la sensibilité aux temps d’arrêt : les systèmes de saisie de commande sont essentiels et devront être remis en place rapidement sous peine de perdre des commandes. En revanche, l’interruption momentanée de la facturation n’entravera pas le fonctionnement de l’entreprise. Une fois le plan de continuité de l’exploitation déterminé, il faudra le tester et le mettre à jour. Les plans de continuité négligent souvent quelques actions vitales. La seule façon de les mettre au point est de les tester. Les tests réels sont souvent impossibles à réaliser, il faut donc réaliser des parcours structurés au cours desquels les personnes impliquées se réunissent et suivent les actions que chacun doit entreprendre. Ces parcours structurés sont des projets importants car ils impliquent des intervenants de nombreux services (services concernés et service informatique). Le plan de continuité doit être fréquemment mis à jour car l’entreprise se réorganise constamment, les conditions de travail changent. Des services se créent, d’autres disparaissent, pendant une crise, il faut réagir vite et pouvoir contacter tous les intervenants rapidement.

8 Reprise après panne

Même avec un bon système de sécurité en place, il est possible qu’il y ait une infiltration, appelée « incident de sécurité ». Lors d’un incident de sécurité, une certaine tension s’installe et l’administrateur réseau de l’entreprise est contraint de résoudre le problème au plus vite. L’expérience montre que la qualité des réactions dépend d’une bonne planification et de l’entraînement des intervenants. Il est impératif de disposer de procédures clairement établies concernant la diffusion d’informations sur les incidents. Dans le cas d’un incident majeur, l’entreprise doit pouvoir faire appel à un CERT (Computer Emergency Response Team) connaissant bien les formes d’attaques récentes. La première priorité est de stopper l’attaque, puis de procéder à une restauration rapidement. Dans le cas d’une infection par un virus, il faut procéder à un nettoyage avant toute restauration. Le succès de ce type d’opérations dépend souvent de sa vitesse d’exécution. Ceci implique que le responsable sécurité doit travailler vite et bien, l’expérience acquise au cours d’exercices d’entraînement peut faire toute la différence.

Lorsqu’une installation majeure de l’entreprise devient inutilisable, le travail doit être déplacé vers une installation de secours située à un autre endroit : salles blanches, ressources partagées.

9 Aspects juridiques et sociaux

Bien que les gouvernements travaillent au développement de lois concernant les crimes informatiques, la situation juridique actuelle est loin d’être satisfaisante. La création du traité sur la cybercriminalité de 2001 par le Conseil de l’Europe est le développement international le plus important. Les signataires de ce traité s’engagent à rédiger des lois relatives aux attaques informatiques et à la protection des copyrights. L’objectif des lois est de sanctionner les fraudes une fois que les faits ont eu lieu. En France :
 Loi Informatique et Libertés : Première loi réglementant les systèmes d’information (loi n° 78-774 du 6 janvier 1978 dite ‘Informatique et Libertés’). Elle a été élaborée pour éviter le recoupement des fichiers gérés par les entreprises et administrations.
 Loi Godfrain (Loi sur la fraude informatique) : Avec le développement des réseaux de communication, de nombreux cas d’intrusion dans les systèmes d’information ont conduits à adopter la loi 5 janvier 1988. Les peines encourues peuvent aller jusqu’à trois ans d’emprisonnement et 45000 € d’amende.
 Secret professionnel : Articles 226-13 et 226-14 du Code Pénal, réglementation en matière de chiffrement des données, protection des logiciels au titre du droit d’auteur.