Vous êtes sur la page 1sur 75
La sécurité à l’usage des PME et des TPE La sécurité à l’usage des PME

La sécurité à l’usage des PME et des TPE

La sécurité

à l’usage des PME et des TPE

16 août 2005

Centre français de réflexion sur la sécurité des systèmes d’information

Collection Ténor – etna France

Ouvrage collectif sous la direction de Gérard Péliks

Ont contribué jusqu’à aujourd’hui à la rédaction de ce livre :

Marie-Agnès Couwez, Alexis Ferrero, Alain Germain, Michèle Germain, Pierre Gojat, Michel Habert, Mauro Israel, Gérard Peliks, FLorent Thiery

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

1/75

La sécurité à l’usage des PME et des TPE LA SECURITE 1 1 POURQUOI SECURISER

La sécurité à l’usage des PME et des TPE

LA SECURITE

1

1 POURQUOI SECURISER SON SYSTEME D’INFORMATION ?

6

1.1 POURQUOI ET POUR QUI CE LIVRE EST ECRIT ?

6

1.2 MENACES SUR VOTRE INFORMATION ET SUR VOTRE TRESORERIE

6

 

1.2.1 L’information, un bien précieux qu’il faut protéger

6

1.2.2 Des menaces et des cibles qui évoluent

7

1.2.3 Cheval de Troie, phishing et pharming

8

1.2.4 Botnets et soit extorsions de fonds, soit dénis de services

8

1.3 LES ENJEUX ET CHIFFRE S CLES DE LA SECURITE

9

1.4 DEPENDANCE TECHNOLOGI QUE ET COMPETIVITE DES PME FRANÇAISES

9

1.5 LES FONDAMENTAUX DE L'INTELLIGENCE ECONOMIQ UE

9

1.6 POURQUOI INVESTIR DANS UN ENVIRONNEMENT DE CONFIANCE ?

9

 

1.6.1 Un enjeu pour les dirigeants d'entreprise

9

1.6.2 Les risques financiers

9

1.6.3 Enjeux économiques et pérennité de l'entreprise

9

1.6.4 Le cadre juridique

9

1.6.5 Le facteur humain

9

1.6.6 Cas pratique

9

1.7 LA CYBERCRIMINALITE : LES PME SONT -ELLES A L'ABRI ?

9

1.8 SPYWARE , PHISHING, VIRUS

MEME COMBAT

9

1.9 LES MENACES SUR VOTRE MESSAGERIE

10

1.10 LES MENACES SUR VOTRE W EB

10

1.11 LES MENACES SUR LA DISPONIBILITES DE VOS INFORMATIONS

10

 

1.11.1

Les attaques par déni de service distribué

10

2 LES ELEMENTS MATERIELS ET LOGICIELS DE LA SECURITE

11

2.1

L’AUTHENTIFICATION

11

2.1.1 L'authentification forte pour la sécurisation des accès

11

2.1.2 La gestion des identités

11

2.2

DISSIMULER L INFORMATION

13

2.2.1 Les principes du chiffrement

13

2.2.2 Les principes des réseaux privés virtuels

13

2.2.3 La stéganographie

13

2.3 LE MEILLEUR COMPROMIS COUT/FONCTIONNALITE GRACE AUX COUPES-FEUX TOUT EN UN

14

2.4 LES APPLIANCE MULTI FONCTION POUR LES PME

14

2.5 SECURISER LA NAVIGATION INTERNET

14

 

2.5.1 Les cookies

14

2.5.2 Extension de la méthode d’apprentissage à d’autres domaines

17

2.5.3 Conclusion

17

2.6 LE CONTROLE ET LE FILTRAGE DU CONTENU

17

2.7 SE SECURISER PAR DES LOGICIELS LIBRES ?

18

 

2.7.1 Les caractéristiques des logiciels libres

18

2.7.2 Les principaux logiciels libres

19

2.7.3 Les apports des logiciels libres à la sécurité

21

2.7.4 Les embûches liées à l’utilisation des logiciels libres (et comment les éviter)

23

2.7.5 Bilan

25

3 LES SERVICES

27

3.1 CONCILIER SECURITE ET SIMPLICITE D'ADMINISTRATION

27

3.2 LES ASPECTS DE NOMS DE DOMAINES SUR INTERNET

27

3.3 A NALYSE DE RISQUES

27

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

2/75

La sécurité à l’usage des PME et des TPE 3.4 P OLITIQUE DE GESTION DE

La sécurité à l’usage des PME et des TPE

3.4 POLITIQUE DE GESTION DE VULNERABILITES ET DES CORRECTIFS

27

3.5 PLANS DE CONTINUITE D'ACTIVITE

27

3.6 LE DEPLOIEMENT DES PATCHS

27

3.7 LA DETECTION DINTRUSIONS

27

3.8 EXTERNALISER SA SECURITE ?

27

 

3.8.1 Externaliser la veille stratégique

27

3.8.2 Externaliser la détection d’intrusions

27

3.8.3 Externaliser la gestion des outils de sécurité

27

3.8.4 Externaliser la sauvegarde des données

27

3.8.5 Externaliser le site Web institutionnel

27

3.8.6 Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance ?

27

3.9

LES NOUVELLES INFRASTRUCTURES DE SE CURITE ORIENTEES SERVICE

27

3.9.1 La sécurité du système d’information de l’entreprise

28

3.9.2 Les infrastructures de sécurité

28

3.9.3 Le niveau de service de la sécurité

28

3.9.4 Services et domaines

29

3.9.5 La gestion des services

29

3.9.6 Les évolutions des infrastructure

30

3.9.7 La

consolidation

30

3.9.8 La consolidation appliquée à la sécurité

32

3.9.9 Exemple d’une démarche de sécurité orientée service pour une TPE/PME

36

3.9.10 Etude de cas

37

3.9.11 Conclusion

39

4 QUELQUES APPLICATIONS DEVANT ETRE SECURISEES

40

4.1

L’ENTREPRISE SANS FIL

40

4.1.1 L’informatique sans fil « Wi-Fi »

42

4.1.2 La téléphonie sans fil DECT

43

4.1.3 La téléphonie sans fil Wi-Fi (VoWiFi)

46

4.1.4 Autres

47

4.1.5 Et pour conclure…

48

4.2 TOIP ET SECURITE

48

4.3 LA SIGNATURE ELECTRONIQUE

48

 

4.3.1 Les deux piliers de cette technologie

48

4.3.2 La signature électronique en théorie

50

4.3.3 La signature électronique en pratique

51

4.3.4 Mais est-ce bien légal et reconnu ?

51

4.3.5 L’avenir de la signature électronique

52

4.4

LA SECURITE DES OUTILS NOMADES

52

4.4.1 L’ordinateur portable

52

4.4.2 Le PDA

52

4.4.3 Les téléphones mobiles

52

5 L’ASPECT HUMAIN DE LA SECURITE

57

5.1 COMMENT INFLUER SUR LES COMPORTEMENTS A RISQUES ?

57

5.2 LA SECURITE, UN ETAT D'ESPRIT

57

5.3 QUELLE POLITIQUE DE SECURITE POUR UNE PME ?

57

 

5.3.1 Objectifs principaux

57

5.3.2 Diagnostic rapide :

58

5.3.3 Une politique de sécurité digne de celle des plus grands

58

5.3.4 Avoir recours aux savoir-faire externes,

59

5.3.5 Nouveaux outils communicants de productivité personnelle

60

5.3.6 Une politique de sécurité des PME proportionnée aux enjeux, pragmatique et agile

60

6 L’ASPECT ECONOMIQUE DE LA SECURITE

61

6.1 LA GESTION DE CRISE P OUR UNE PME PMI

61

6.2 A SSOCIEZ VOTRE BUDGET SECURITE A VOS ENJEUX

61

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

3/75

La sécurité à l’usage des PME et des TPE 7 L’ASPECT JURIDIQUE DE LA SECURITE

La sécurité à l’usage des PME et des TPE

7 L’ASPECT JURIDIQUE DE LA SECURITE

62

7.1 LES NOUVELLES REGLES JURIDIQUES DE LA CYBERCRIMINALITE: VICTIME DONC RESPONSABLE

62

7.2 A QUI SADRESSER APRES UNE ATTAQUE ?

62

8 DIX MESURES CONCRETES POUR SECURISER VOTRE PME CONNECTEE

63

8.1 CE QUE VOUS N'AVEZ PEUT -ETRE PAS ENCORE:

63

8.2 CE QU'IL FAUT RENFORCER:

64

8.3 RENFORCEMENT DES METHODES:

65

8.4 PROTECTION DES DONNEE S:

67

8.5 CONCLUSION :

67

9 BIBLIOGRAPHIE ET REF ERENCES

69

9.1 GENERAL

69

9.2 JURIDIQUE

69

9.3 LES POINTEURS DE MAURO ISRAEL

69

10 GLOSSAIRE

72

10.1 A CRONYMES

72

10.2 DÉFINITIONS

72

11 CONTRIBUTIONS A L’ECRITURE DE CE LIVRE

74

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

4/75

La sécurité à l’usage des PME et des TPE 16 août 2005 copyright etna France

La sécurité à l’usage des PME et des TPE

La sécurité à l’usage des PME et des TPE 16 août 2005 copyright etna France –

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

5/75

La sécurité à l’usage des PME et des TPE 1 POURQUOI SECURISER SON SYSTEME D’INFORMATION

La sécurité à l’usage des PME et des TPE

1 POURQUOI SECURISER SON SYSTEME D’INFORMATION ?

1.1

POURQUOI ET POUR QUI CE LIVRE EST ECRIT ?

Auteur : Marie-Agnès Couwez, ma.couwez@noos.fr

Un seul objectif, ambitieux certes, à ce livre :

Chers lecteurs, devenez ACTEURS !

Connaissez et maîtrisez les risques, les nuisances, liés à l’usage de vos ordinateurs en réseau, de votre messagerie, de l’internet.

Ce livre est destiné aux très petites, petites et moyennes entreprises (TPE et PME) qui ne disposent pas en interne de personnel spécialiste de ces questions.

Et pourtant, elles doivent mettent en œuvre, gérer et sécuriser au quotidien leur réseau informatique, de nouveaux outils technologiques, et l’ensemble des réseaux de communication qui constituent aujourd’hui la base de l’activité de production, de gestion et de développement d’une entité.

Compte tenu de la similitude en matière d’organisation qui peut exister avec des collectivités locales de petites tailles, ce livre leur est aussi destiné, hormis ce qui pourrait relever de spécificités dues à leur caractère public.

Dans la société de l’information actuelle, le poste informatique de voilà quelques années est devenu « système d’information » de part ses interconnexions. L’entreprise échange des informations avec ses salariés, ses clients, ses fournisseurs, au moyen de la messagerie, donc de l’Internet, d’un Intranet ou d’un Extranet. Elle communique aussi avec des outils multi fonctions comme le téléphone portable ou l’assistant personnel (PDA) et se lance maintenant dans la téléphonie sur Internet (VoIP).

Elle utilise quotidiennement des applications qui lui permettent de se développer et d’assurer sa gestion. Avec ce livre, nous souhaitons :

w

Attirer votre attention sur les ressources critiques pour votre activité

w

Indiquer les principaux risques et nuisances liés à l’usage des technologies

w

Vous fournir des éléments de réponse dans chaque cas.

Et maintenant un mini quiz :

w

Avez-vous au moins un ordinateur, portable ou fixe, connecté à un réseau ?

w

Utilisez-vous une messagerie ?

w

Votre entreprise est-elle en réseau ?

w

Utilisez-vous des connections sans fil (WiFi) ?

w

Avez-vous un site internet ?

Si vous répondez oui à au moins une de ces questions, ce livre est fait pour vous !

1.2

MENACES SUR VOTRE INFORMATION ET SUR VOTRE TRESORERIE

Auteur : Gérard Péliks (EADS) gerard.peliks@eads.com

1.2.1

L’information, un bien précieux qu’il faut protéger

L’information, celle que vous détenez sur votre poste de travail ou qui est disponible en interne sur le système d’information de votre entreprise, et celle qui transite sur les réseaux, avec et sans fils, est un bien souvent précieux, parfois stratégique pour la bonne marche de vos affaires. Mais cette

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

6/75

La sécurité à l’usage des PME et des TPE information est exposée à des convoitises

La sécurité à l’usage des PME et des TPE

information est exposée à des convoitises et à d’inavouables desseins et présente en plus des vulnérabilités. Elle doit impérativement être protégée en fonction de son importance.

Des menaces la guettent, des attaques se déclenchent, venant de l’Internet, mais aussi de vos réseaux internes, pour la voler, la détourner, porter atteinte à son intégrité ou simplement pour la lire si elle est confidentielle. La question n’est pas de savoir si votre information va être attaquée, elle le sera, mais bien de savoir comment les contre-mesures, que vous avez mises en place pour la protéger, se comporteront avant pendant et après ces attaques. Aujourd’hui, l’espérance de vie d’un système d’information, sans protection suffisante, accessible par un réseau public, est évaluée à quelques minutes à peine avant que les informations ne soit compromises dans leur existence ou leur intégrité.

Vous doutez encore de l’ampleur du danger ? Installez un firewall personnel correctement configuré sur votre poste de travail connecté à l’Internet et mesurez le temps avant que ne se produise une scrutation des ports de votre PC par des accès extérieurs qui cherchent les vulnérabilités de votre configuration et vous en serez convaincu ! Vous avez un firewall personnel et vous n’avez jamais constaté d’attaques ? Votre firewall n’est sans doute pas correctement configuré ou la base de signatures de votre antivirus n’est pas à jour. Et ne déduisez pas que vous êtes personnellement visé. La pêche aux postes de travail vulnérables se fait parfois de manière aléatoire sur des plages d’adresses de l’Internet, parfois elle est systématique sur toutes les adresses visibles. Les vulnérabilités trouvées feront, dans un deuxième temps, l’objet d’attaques adaptées et parfois dévastatrices. Alors que dire si votre PC n’est pas correctement protégé ? Vous ne serez même pas au courant qu’il est sous le contrôle à distance d’un hacker qui épie vos frappes claviers, vos transactions sur la toile, ce que vos affichez à l’écran. Ce qui peut vous arriver de mieux est finalement que l’attaque, si elle réussit, détruise votre système d’information mais les attaques ont évolué et le but recherché n’est plus de détruire vos informations et vos serveurs mais de les utiliser à vos dépends.

1.2.2 Des menaces et des cibles qui évoluent

Les motivations des attaquants, et donc leurs cibles, évoluent rapidement. Il n’y a pas si longtemps, mais c’est déjà la préhistoire de la cyber criminalité, l’attaquant voulait prouver à quel point il était compétent et asseoir sa notoriété sur les dégâts qu’il causait autour de lui. En choisissant un réseau bien protégé et si possible dont les conséquences de l’agression ne laissaient pas la presse indifférente, il prouvait également son courage, parfois son inconscience. Mais les attaques étaient déclenchées à partir de la toile, parfois à des milliers de kilomètres de chez vous, là où les lois du pays où réside le site attaqué ne s’appliquent pas et la plupart du temps sous de fausses identités. Comment alors ces cybercriminels pourraient-ils être inquiétés ?

C’était l’époque de l’éclosion des premiers virus qui gagnèrent rapidement en vitesse de propagation et en complexité, se jouant des antivirus en changeant de signature et en se tapissant au plus profond de vos fichiers. C’était aussi celle de l’ingénierie sociale qui vous encourageait, pendant la lecture de votre messagerie, à cliquer sur une pièce jointe exécutable pour activer le virus qui bien entendu ne vous voulez pas du bien et le propager à vos listes de distribution de messagerie, et alors vos correspondants ne vous voulaient plus du bien. Ensuite vinrent les vers, plus subtils, plus sournois car ils s’insinuaient en silence dans votre système d’information sans action nécessaire de votre part si ce n’est d’avoir connecté votre PC au réseau public et parfois même privé. Le but de ces menaces devenues désuètes aujourd’hui était de détruire vos informations et se propager pour perpétuer plus loin les méfaits programmés.

Les menaces sont encore très présentes mais la finalité des attaques a pris un nouvel essor et une nouvelle vigueur. Les cybercriminels aujourd’hui ne s’intéressent plus tellement à votre système d’information mais à votre porte-monnaie ou plutôt ce qu’il contient, et surtout à la trésorerie de votre entreprise. Là où il y a de l’argent, il y a les pirates. Là où les sommes sont considérables, ils y mettent les moyens. Et ces moyens sont sophistiqués et souvent le fait de mafias pour qui ce n’est pas la beauté du concept qui motive les attaques mais parce qu’il est à priori plus rentable, et moins dangereux, d’attaquer les systèmes d’information d’une banque par exemple que de braquer une de ses succursales. Voici venu l’époque des attaques feutrées, sans bruit, sans publicité et exécutées par des pirates hautement compétents. Pour des attaques à très grande échelle ils utilisent des

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

7/75

La sécurité à l’usage des PME et des TPE hommes de mains, population anonyme et

La sécurité à l’usage des PME et des TPE

hommes de mains, population anonyme et mouvante qui disparaît pour réapparaître ailleurs, pour lancer d’autres attaques.

1.2.3 Cheval de Troie, phishing et pharming

Pour bien appréhender les nouvelles tendances des attaques, analysons comment procède le virus bugbear qui préfigure bien leur nouvelle cible et leur nouveau but. Le virus bugbear ne porte pas de charge létale mais se cache dans votre poste de travail après avoir installé un cheval de Troie qui est un logiciel qui va écouter les frappes sur votre clavier. Tant que vous n’utilisez pas votre poste de travail pour dialoguer avec votre banque, bugbear sommeille mais dès que vous tapez le nom de votre banque, et bugbear a dans sa base les noms de plusieurs centaines d’établissements financiers, il se réveille et vous écoute, car vous présentez alors de l’intérêt pour lui. Il enregistre vos transactions et les achemine vers son auteur indélicat par le réseau. Vous pouvez vous entourer de dispositifs de sécurité, vous pouvez chiffrer vos transactions, elles n’échapperont pas à ce « keylogger » 1 qui prend l’information que vous entrez à sa source, c’est à dire directement sur les touches que vous pressez sur votre clavier. Vous comprendrez aisément que mots de passe et codes clients n’ont plus de secret pour le hacker à l’écoute.

Mais ce virus, pour agir, doit être au préalable avoir contaminé votre poste de travail. Il y a plus efficace ! Le phishing ou hameçonnage. Cette technique repose sur trois impostures. La première imposture est l’appât. Vous recevez un courriel qui semble venir par exemple de votre banque. Les fonts, les couleurs, les logos, le style du message sont ceux de votre banque, rien ne manque, à part que … ce message ne vient pas de votre banque. La deuxième imposture est l’hameçon. Le courriel vous avertit que votre banque est désolée mais suite à un problème informatique, des données ont été corrompues alors pour ne pas perdre les facilités qu’elle vous offre en ligne, vous devez cliquer sur un hyperlien pour ouvrir une page Web et ressaisir les données perdues de votre compte, afin que le problème soit réglé au plus vite. Vous remplissez les formulaires et les hackers sont satisfaits car bien entendu le site où vous étiez n’était pas le site de votre banque mais celui du hacker à qui vous avez donné donc les informations confidentielles sur votre compte. La troisième imposture est l’utilisation de votre identité pour vider votre compte. Cette attaque devient de plus en plus fréquente et peut détruire la confiance que l’utilisateur doit éprouver face au Web avant qu’il n’accepte de faire des transactions en ligne. Comme pour le commerce traditionnel, le commerce électronique repose sur la confiance entre l’acheteur et le vendeur, aussi les bases mêmes du commerce électronique sont ébranlées.

Mais cette attaque pour réussir requiert que d’une part vous n’ayez pas détruit le premier courriel de phishing sans le lire, d’autre part que vous ayez cliqué sur l’hyperlien proposé, et enfin que vous ayez entré les renseignements demandés par la page Web du hacker. Il y a plus efficace ! le pharming. Cette attaque, très technique, repose sur une vulnérabilité qui affecte certains serveurs de noms. Dans le monde IP, l’être humain préfère converser en adresses sous forme de texte telles que ma-banque.com alors que les machines comprennent les adresses binaires comme 192.1.1.3. Pour satisfaire les utilisateurs et les machines, les serveurs de noms convertissent les adresses textes en adresses binaires et inversement. Des tables de correspondances sont créées dynamiquement et restent, un certain temps, en mémoire des serveurs. Alors que croyez-vous qu’il arrive si on parvient à corrompre ces tables pour qu’à ma-banque.com corresponde une adresse binaire qui n’est plus celle de la banque mais bien celle d’un hacker ? Gagné, quand vous pensez aller sur le Web de votre banque, vous vous retrouvez sur le Web du hacker qui aura bien sûr imité celui de votre banque et c’est à lui que sont routées vos transactions. Imparable pour vous et fructueux pour le hacker !

1.2.4 Botnets et soit extorsions de fonds, soit dénis de services

Après le cyber-vol à la tire, examinons maintenant des cyber-attaques plus brutales et qui n’ont pas pour but de vous extorquer des fonds à votre insu mais carrément avec votre consentement … forcé en utilisant le chantage, les botnets. De la contraction des mots robot et network, les botnets sont des attaques sophistiquées et concertées qui déclenchent des ondes de choc dont il est difficile, si on en est la cible, de se relever. Supposez que des milliers de postes de travail contaminés par un

1 Programme espion qui enregistre les touches que vous appuyez sur votre clavier

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

8/75

La sécurité à l’usage des PME et des TPE virus, un ver ou autre malware

La sécurité à l’usage des PME et des TPE

virus, un ver ou autre malware deviennent des postes zombies qui se mettent spontanément, à l’insu de leur propriétaire, sous le contrôle d’un serveur maître, quelque part sur la toile et attendent ses ordres. Supposons maintenant que ce serveur soit contrôlé par un hacker qui n’a qu’une commande à lancer pour que tous les PC zombies à l’écoute déclenchent des attaques vers une cible unique. Et supposons enfin que le hacker propose ses services à des êtres malfaisants qui lui commandent de déclencher des attaques de telle ampleur, sur telle cible, peut-être sur le serveur Web institutionnel de votre entreprise. Nous avons brossé le tableau d’un botnet.

L’attaquant loue un temps d’utilisation d’un botnet pour lancer une attaque sur une cible pour qui la disponibilité du réseau est impérative pour mener les affaires en ligne, un site Web de jeux ou d’enchères par exemple. Bien sûr le prix de location dépend de la cible visée et du temps d’utilisation. A l’heure dite, le serveur commande aux postes de travail répartis dans le monde, et à l’insu de leurs propriétaires, d’envoyer chacun 10 000 demandes d’accès sur la cible. Des milliers de PC lançant chacun 10 000 transactions sur la cible … il serait étonnant que celle ci parvienne à poursuivre ses affaires dans le cyber-espace, durant cette tornade. Ensuite on passe à la phase de chantage. L’individu malfaisant averti le propriétaire de la cible qu’il recommencera et cette fois beaucoup plus violemment et longtemps à moins qu’une somme d’argent conséquente et en petites coupures, dont les numéros ne se suivent pas, lui soit versée. Le monde réel des mafieux rejoint le cyber-espace des hackers. La cyber-criminalité se professionnalise !

A ne pas négliger, la petite attaque qui consiste à chiffrer des fichiers d’un poste de travail cible puis de proposer à son propriétaire la clé de déchiffrement de ses fichiers moyennant finance. Mais dans quel monde vivons-nous ? !!! Il est préférable d’en être conscient.

1.3

LES ENJEUX ET CHIFFRES CLES DE LA SECURITE

Auteur : Jean-Philippe Bichard (NetCost&Security) jpbichard@netcost-security.fr

1.4

DEPENDANCE TECHNOLOGIQUE ET COMPETIVITE DES PME FRANÇAISES

1.5

LES FONDAMENTAUX DE L'INTELLIGENCE ECONOMIQUE

Auteur : Jean-Philippe Bichard (NetCost&Security) jpbichard@netcost-security.fr

1.6

POURQUOI INVESTIR DANS UN ENVIRONNEMENT DE CONFIANCE ?

Auteur : Eléonore Estadieu (MSI) eleonore.estadieu@msi-sa.fr

1.6.1

Un enjeu pour les dirigeants d'entreprise

1.6.2

Les risques financiers

1.6.3

Enjeux économiques et pérennité de l'entreprise

1.6.4

Le cadre juridique

1.6.5

Le facteur humain

1.6.6

Cas pratique

1.7

LA CYBERCRIMINALITE : LES PME SONT-ELLES A L'ABRI ?

Auteur : Franck Franchin (France Télécom) franck.franchin@francetelecom.com

1.8

SPYWARE, PHISHING, VIRUS

MEME COMBAT

Auteur : Yann Berson (Webwasher) yberson@webwasher.com

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

9/75

La sécurité à l’usage des PME et des TPE 1.9 LES MENACES SUR VOTRE MESSAGERIE

La sécurité à l’usage des PME et des TPE

1.9

LES MENACES SUR VOTRE MESSAGERIE

1.10

LES MENACES SUR VOTRE WEB

1.11

LES MENACES SUR LA DISPONIBILITES DE VOS INFORMATIONS

1.11.1

Les attaques par déni de service distribué

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

10/75

La sécurité à l’usage des PME et des TPE 2 LES ELEMENTS MATERIELS ET LOGICIELS

La sécurité à l’usage des PME et des TPE

2

LES ELEMENTS MATERIELS ET LOGICIELS DE LA SECURITE

2.1

L’AUTHENTIFICATION

2.1.1

L'authentification forte pour la sécurisation des accès

Auteur : Loïc Caradec (ActivCard) Loic.Caradec@activcard.fr

2.1.2

La gestion des identités

Auteur : Marie-Agnès Couwez, ma.couwez@noos.fr

Dans ce chapitre, ce terme désigne la gestion des utilisateurs d’un système d’information. Nous ne traiterons pas ici de la maîtrise des éléments d’identités que chaque internaute est susceptible de laisser sur internet.

Que recouvre cette appellation et quelle est l’importance de ce processus pour la sécurité de l’entreprise ?

L’identité recouvre trois sortes de données :

w

les informations nominatives, telles que définies par la CNIL

 

w

le

profil

de

l’utilisateur :

sa

fonction,

le

service

auquel

il

est

rattaché,

ses

domaines

d’intervention…

 

w

les habilitations de l’utilisateur.

 

Le cycle de vie d’une identité comporte trois états : la création, la maintenance, la révocation.

La gestion de l’identité renvoie à plusieurs problématiques :

w

garantir l’accès sécurisé aux applications,

w

organiser, techniquement et opérationnellement, le processus de gestion des identités et les procédures de mise à jour,

w

calculer le coût financier que représente la gestion de ce processus, qu’il s’agisse de solutions manuelles (temps consacré à cette tâche) ou de solutions techniques (coût d’achat, d’implémentation, de gestion).

De la même manière qu’une société contrôle les accès physiques à ses locaux, qu’il s’agisse de ses employés, de ses clients ou de ses fournisseurs, elle doit s’assurer que toute personne qui se connecte à son système d’information et à ses applications est dûment autorisée à le faire.

Le développement du nomadisme, du télétravail, des interconnexions avec les réseaux des clients ou fournisseurs multiplie les points de vulnérabilité du réseau. L’entreprise est donc amenée à mieux contrôler et à renforcer l’authentification des utilisateurs (le plus souvent par simple identifiant et mot de passe) et à définir précisément les droits d’accès aux applications.

Ce qui est relativement simple pour le contrôle des accès physiques aux différents espaces, bureaux, ateliers, s’avère beaucoup plus compliqué dans le cas présent. Une des raisons principales est l’organisation de l’informatique et l’historique de cette organisation.

En effet, les applications de l’entreprise se sont développées séparément, sur plusieurs années, afin de répondre à des besoins métiers et de gestion : les ressources humaines, la comptabilité, les bases de données clients…

Si certaines ont pu être regroupées dans un progiciel de gestion intégrée (PGI), les messageries, les applications web, se sont rajoutées au fil du temps.

Ces applications n’ont pas été conçues pour communiquer entre elles et rendent difficile l’interopérabilité, quand ce n’est pas impossible. Elles possèdent leur propre base de données utilisateurs (appelée référentiel ou annuaire) avec les outils de gestion intégrés. Chaque référentiel

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

11/75

La sécurité à l’usage des PME et des TPE associe à un utilisateur des informations

La sécurité à l’usage des PME et des TPE

associe à un utilisateur des informations d’identité nominative, un identifiant et un mot de passe, des privilèges en fonction de ses besoins métier. Ces derniers définissent le niveau d’usage, de l’accès en simple consultation au droit d’écriture et de modification, ou au contraire à l’absence totale de droit.

Ainsi, les informations relatives à l’identité et aux droits attribués à chacun sont disséminées dans plusieurs référentiels, ce qui rend difficile le contrôle global de la qualité et de la cohérence des informations. Comment repérer les erreurs, les doublons, comment mettre à jour rapidement les informations en cas de changement (recrutement, nouvelle fonction et droits associés, départ d’un salarié). Avec, en corollaire, le défaut de sécurité qui peut en résulter dans le contrôle d’accès aux ressources de l’entreprise.

Si celles-ci ont pris l’habitude depuis longtemps de bien cloisonner certaines applications comme la comptabilité ou la paye (seuls les salariés habilités y ont accès), les règles sont souvent beaucoup moins bien définies pour l’accès aux bases commerciales ou marketing.

Afin d’automatiser ce processus, la technologie des annuaires de type LDAP (Lightweight Directory Access Protocol) s’est développée à partir de 1996. Ce protocole permet d’accéder à une base de données centralisée (ou annuaire) qui prend en charge les authentifications et les habilitations de chaque application.

D’autre part, la sécurité de l’accès aux applications peut s’appuyer sur une authentification unique de type Single Sign On (SSO), surtout pour des services internet, qui évite les authentifications multiples aux utilisateurs. Ce système a plusieurs avantages : la simplification d’usage pour l’utilisateur (en réduisant les couples identifiant/mot de passe), de traitement pour l’administrateur (gestion centralisée des droits), une meilleure sécurité (dans le cas où l’application comporterait une faille)…

Deux solutions s’offrent aux moyennes entreprises, sachant que les plus petites auront forcément recours à la deuxième solution en raison de leur volume à traiter et du rapport coût /volume :

w

soit la mise en œuvre d’un processus automatisé de gestion des identités sous forme d’annuaire LDAP qui permet de mettre à jour une seule base de données

w

soit la gestion manuelle des contrôles d’accès et de tous les changements qui peuvent affecter un compte utilisateur.

Les deux solutions ont toutefois un coût financier.

Dans le premier cas, c’est celui de l’implémentation de la solution technique et organisationnelle. Dans le second, c’est le temps passé par un administrateur réseau (ou la personne en charge) à gérer les comptes utilisateurs sur les différentes applications et sur l’ensemble du système d’information.

Toutefois, il ne faut pas limiter le raisonnement à ces seuls paramètres car la vraie question aujourd’hui pour toute structure est de savoir comment elle maîtrise ses connections, comptabilise ses utilisateurs, décide et surveille qui accède à quelle information, quand et où.

La sécurité a un prix, tout comme la qualité, même si une bonne organisation peut réduire ce prix.

Cinq questions à vous poser :

w

combien de temps faut-il pour qu’un nouveau salarié reçoive l’accès aux ressources dont il a besoin ?

w

cet accès délivré, êtes-vous certain que ce salarié ne puisse accéder à des applications qui ne sont pas de son domaine d’action (par exemple : le stagiaire en marketing que vous venez d’accueillir, accède-t-il aux documents stratégiques de votre prochaine campagne qui débute dans six mois ?)

w

cette même question peut se décliner pour des acteurs externes qui ont accès à votre système d’information : contractants (consultant, équipe de développement ou de maintenance…), clients, partenaires, fournisseurs…

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

12/75

La sécurité à l’usage des PME et des TPE w sous quel délai sont désactivés

La sécurité à l’usage des PME et des TPE

w

sous quel délai sont désactivés tous les accès et les droits d’un salarié qui quitte votre entreprise

w

combien d’identifiants et de mots de passe différents sont nécessaires à vos salariés pour accéder aux applications ?

2.2

DISSIMULER L’INFORMATION

2.2.1

Les principes du chiffrement

2.2.2

Les principes des réseaux privés virtuels

2.2.3

La stéganographie

Auteur : Gérard Péliks (EADS) gerard.peliks@eads.com Article écrit pour Netcost&Security

Pour assurer la confidentialité des informations sensibles qui transitent entre deux réseaux sûrs, en empruntant un réseau public tel l’Internet, chiffrer ces informations est une bonne solution. Cela consiste à rendre au moyen d’un algorithme de brouillage et en utilisant une clé de chiffrement, cette information incompréhensible jusqu’à ce qu’elle soit déchiffrée à l’autre bout du réseau, connaissant l’algorithme de chiffrement et la clé de déchiffrement.

Suivant la taille des clés et les algorithmes utilisés, cette méthode pourrait être considérée comme parfaite si elle ne pêchait sur un point : si l’information est chiffrée, c’est justement qu’elle présente un intérêt donc il peut être utile à ceux à qui on cache cette information de mettre en action les moyens de calcul pour la déchiffrer.

Si l’information chiffrée incite ceux à qui elle est dissimulée d’essayer de découvrir quel secret elle renferme, autant ne rien cacher pour éviter d’attirer l’attention sur cette information ! Mais il n’est pas question non plus de laisser passer cette information en clair sur un réseau non sûr ou de l’archiver sur un média qui pourrait être lu. La stéganographie, à ne pas confondre avec la sténographie, répond à cette faiblesse. La stéganographie est l’art de dissimuler une information en clair dans un message en clair qui paraîtra anodin et cachera l’information sensible qu’il contient. Un texte paraîtra banal et sans intérêt sauf si par exemple on lit un mot sur trois, ou le cinquième mot de chaque phrase.

Un exemple littéraire célèbre de stéganographie nous est donné par un échange épistolaire entre George Sand et Alfred de Musset. George Sand envoie à Alfred de Musset un poème merveilleux de romantisme et de pureté mais lu une phrase sur deux, le poème apparaît comme n'étant pas si romantique, et plutôt pour le moins direct. Alfred de Musset répondit à son amie George Sand par un autre poème, également pure merveille de romantisme, mais en lisant seulement le premier mot de chaque vers, le poème devenait une proposition plutôt indécente. Et George Sand répondit à cette invitation par deux vers utilisant la même clé, lire le premier mot de chaque vers, qui donnait le renseignement demandé :

Cette grande faveur que votre ardeur réclame

Nuit peut-être à l'honneur mais répond à ma flamme.

On trouve un autre exemple de stéganographie dans le film d’Alfred Hitchcock, le rideau déchiré, où des secrets d’état transitent vers les pays de l’Est dissimulés dans une partition musicale. En fait dans la partition, une seule note noire qui aurait du être blanche contenait miniaturisée toute l’information d’un aéronef, nous étions à l’époque en pleine guerre froide. Seule une personne connaissant bien toutes les notes de cet opéra aurait pu s’apercevoir de la supercherie, et encore fallait-il qu’il ne pensât point que la noire au lieu de la blanche était une simple erreur et disposât d’un microscope électronique pour visualiser l’information (textes, équations, schémas) cachée dans la note.

Ne peut-on penser qu’une banale bande vidéo enregistrée de Ben Laden où il est question de combats contre le Satan, mais rien de très concret, ne cache en arrangeant les mots, en décodant

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

13/75

La sécurité à l’usage des PME et des TPE les images ou même en analysant

La sécurité à l’usage des PME et des TPE

les images ou même en analysant les fréquences de la parole, des annonces très concrètes comme des objectifs à détruire ? La CIA y pense bien sûr et ces bandes sont analysées dans leurs moindres détails.

En poussant plus loin la stéganographie-mania, des analystes essayent de trouver dans la bible des messages cachés et affirment que la bible révèlera tout l’avenir de l’humanité à ceux qui en possèdent les clés. Laissons à ces auteurs la responsabilité de leurs affirmations mais il faut reconnaître que certaines sont troublantes à moins que le hasard des mots ne soit expliqué par la science des statistiques. On ne pourrait rêver d’un meilleur média pour véhiculer des informations cachées qui traversent les siècles.

Donnons un exemple un peu plus technique, très employé : dissimuler l’information sensible dans une image banale comme vos photos de vacances ou vos portraits de famille. Une image est constituée de pixels qui sont des points élémentaires colorés par un niveau de bleu, de vert et de rouge. Chaque pixel est formé d’un octet (8 bits) pour le bleu, un octet pour le vert et un octet pour le rouge. La combinaison de ces trois couleurs fondamentales donne le point coloré. Supposons qu’on réserve le dernier bit de chacun des 3 octets de chaque pixel pour constituer un message caché. La dégradation de l’image sera imperceptible. On peut ainsi utiliser le huitième de la taille de l’image pour cacher un message. Bien malin est celui qui se doute qu’une image d’un paysage de vacances, envoyé, par messagerie en pièce jointe à un partenaire, contient caché la liste de prix d’une gamme de produits avec les remises consenties à ce partenaire.

On pourrait penser que l’opération est séduisante sur le plan technique mais difficile à réaliser dans la pratique ? Il n’en est rien, il suffit d’utiliser l’int erface conviviale d’un outil de stéganographie, on en trouve des gratuits sur l’Internet. Pour ma part, j’utilise Steganozorus et j’ai fait passer bien des messages secrets dans les images que j’attache à certains de mes courriels et je n’ai vu personne chercher des messages cachés dans mes photos de vacances.

2.3

LE MEILLEUR COMPROMIS COUT/FONCTIONNALITE GRACE AUX COUPES- FEUX TOUT EN UN

Auteur : Dominique Meurisse (Netasq) dominique.meurisse@netasq.com

2.4

LES APPLIANCE MULTI FONCTION POUR LES PME

2.5

SECURISER LA NAVIGATION INTERNET

2.5.1

Les cookies

Auteur : Florent Thiery, (INT-Evry) florent.thiery@int-evry.fr

2.5.1.1 Description

Les cookies sont de petits fichiers crées par certains sites web lors de leur consultation. Ils sont stockés sur le poste de travail consultant le site, à la demande du site, de la même façon que les fichiers constituant les pages web. Contrairement aux images et aux fichiers html qui sont stockés en vue de la re-consultation du site (on parle de cache), ces cookies servent à sauvegarder certaines données personnelles, comme la modification des préférences utilisateur (par exemple dans le cadre d'un Webmail) ou encore le contenu du panier sur un site d'achat en ligne.

Lorsque l’internaute revient sur le site, le navigateur Internet lit le cookie et en extrait les informations afin de restaurer les paramètres contenus dans le cookie. Les cookies permettent de pallier à la non- persistance des personnalisations éventuelles des sites Internet (le protocole http ne possède pas de fonctions propres à garder une trace temporelle des actions des utilisateurs).

Malgré l'utilité évidente de ces petits fichiers (stockés au même endroit que les fichiers Internet temporaires, fichiers html ou images), on peut en détourner le but primaire à des fins de traçage des internautes.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

14/75

La sécurité à l’usage des PME et des TPE Précisons que cela ne dépasse pas

La sécurité à l’usage des PME et des TPE

Précisons que cela ne dépasse pas une atteinte à la vie privée : contrairement aux idées reçues, un cookie ne peut pas transmettre de virus. Ils ont une date d’expiration, une limitation en taille de stockage et très peu de pouvoirs : il ne s’agit que d’un simple fichier texte, donc non exécutable.

Voici les informations pouvant être mémorisées par un cookie :

w

la date et l’heure de la visite sur un site Web

w

les valeurs entrées dans divers champs, par exemple lors d’un sondage

w

une information personnelle comme un nom d’utilisateur et son mot de passe

Beaucoup de cookies sont des compteurs (de visite…).

Citons les "tracking cookies", type le plus commun de cookies malveillants qui permettent à une entité (souvent une régie publicitaire) de suivre les sollicitations d'un utilisateur sur la toile, par

lui proposer de la

publicité ciblée ou tout simplement de revendre ces informations, par exemple à une régie publicitaire ou au pire à ses concurrents.

Un exemple de ces organismes est la compagnie DoubleClick, qui grâce à un vaste réseau de sites contenant des bannières qui déposent des cookies sur les disques durs des internautes, peut dresser des statistiques sur les sites les plus réquentésf par les employés d’une entreprise par exemple.

Il s'agit donc la plupart du temps d'une atteinte à la vie privée que peu de gens apprécient. Dans le cadre d’une entreprise, le problème de l’anonymat est particulièrement sensible : une entreprise concurrente a donc potentiellement le pouvoir d’avoir des informations (si ces informations existent, alors elles sont très probablement à vendre…). Le problème est que par défaut, les cookies sont acceptés sans le moindre commentaire de la part des navigateurs internet.

exemple ses intérêts commerciaux (types de produits consultés,

)

afin de

2.5.1.2 La méthode de l’apprentissage

Théorie

La meilleure façon de se protéger des cookies est de particulariser son système pour qu’il s’en méfie. Durant une période d'apprentissage, l'utilisateur doit refuser ou accepter les cookies avec discernement. La méthode est simple: régler son navigateur Internet de telle sorte qu'à chaque fois qu'un site web demande à stocker un cookie, le navigateur Internet sollicite la permission de l'utilisateur. Plusieurs choix sont alors proposés: accepter définitivement (ne choisir cela que lorsqu'on est sûr de la provenance et de l'utilité d'un cookie), accepter de façon temporaire (à choisir lorsque le site semble avoir besoin d'un cookie, mais que l'on ne sait pas très précisément lequel), refuser et refuser de façon permanente.

lequel), refuser et refuser de façon permanente. Ce choix nécessite un minimum de réflexion. Lorsque le

Ce choix nécessite un minimum de réflexion. Lorsque le navigateur Internet demande la permission pour créer ou modifier un cookie, il indique aussi l'adresse du site web qui en fait la demande. En lisant cette adresse, il est possible dans la majorité des cas de décider; voici quelques exemples:

w

ad.adserver.com ; cette adresse est particulièrement louche: ad fait presque toujours référence à une publicité (ad pour « advertising »), on comprend sans trop de difficultés qu'il s'agit d'un cookie à but commercial; il est donc recommandé de bloquer ce cookie de façon permanente.

Ainsi, la prochaine fois que l'on consultera automatiquement rejeté.

un site affilié à cette régie, le cookie sera

w

webmail.site.com : il s'agit sans aucun doute d'un cookie utile, nécessaire à l'utilisation d’une boîte de courrier électronique en ligne (webmail). Ce cookie stockera vraisemblablement le nom

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

15/75

La sécurité à l’usage des PME et des TPE d’utilisateur, le mot de passe et

La sécurité à l’usage des PME et des TPE

d’utilisateur, le mot de passe et diverses options sélectionnées par l’utilisateur, afin de lui permettre de revenir consulter sa boîte mail sans tout devoir retaper.

w hit.counter.com: il s'agit d'un autre type de cookies, qui servent à l'audit de trafic des sites web.

C'est un choix personnel de

Il s'agit dans une certaine mesure d'une atteinte à la vie privée l'accepter ou non.

Cette méthode peut sembler relativement contraignante, mais elle est très utile, et avec le temps elle devient un réflexe. La stratégie à adopter est à adapter au site consulté. Pour la plupart des sites, refuser le cookie ne bloque pas la navigation. Les sites qui ont BESOIN de cookies sont:

w

les sites requérant une authentification par login/mot de passe (forums, webmails,…). Le cookie permet alors de naviguer sur le site sans obligation de se réauthentifier à chaque fois qu’on y accède.

w

les magasins en ligne: les cookies sont utilisés pour stocker l'identité de l'utilisateur, ainsi que les produits ajoutés au panier lors d’une navigation.

Pour la quasi-totalitéé des sites web, on peut sans risque refuser les cookies. Parfois cela bloquera la navigation sur ces sites mais il est alors toujours possible de revenir en arrière en supprimant la règle d’interdiction du cookie.

Pratique : les cas Firefox et Internet Explorer

Les deux navigateurs les plus utilisés dans le monde informatique sont sans conteste Firefox et Internet Explorer. Les deux proposent la possibilité d'activer cette méthode.

Pour Firefox, menu Outils > Options > Vie privée > Cookies, cocher « autoriser les sites à créer des cookies », puis dans la liste déroulante « Conserver les cookies », choisir « demander à chaque fois ». Noter le bouton «exceptions » qui contient la liste des sites autorisés ou interdits, et par laquelle on peut retourner en arrière.

Pour Internet Explorer, Panneau de configuration > Options Internet > Confidentialité > Avancé > Cocher «Ignorer la gestion automatique des cookies ». Ensuite, pour les paranoïaques on peut demander pour tout, mais en général demander pour les cookies tierce partie sera suffisant (il s’agit des cookies demandés par un autre site que celui qu’on visite, comme par exemple celui créé par les bannières de DoubleClick présentes sur la page que vous visitez).

2.5.1.3 Détection et suppression

Il est possible de détecter et d'effacer facilement les cookies malveillants. Il existe des logiciels qui ont une version gratuite, comme Adaware et Spybot (entièrement gratuit), qui permettent aussi de détecter et d'effacer les spywares/adwares/malwares. Malgré le fait récent que les antivirus commerciaux commencent à traiter ce type de menace, ces logiciels spécialisés disposent de plus de maturité et, globalement, d’efficacité. Il est conseillé d'effectuer environ une fois par semaine une vérification du système.

2.5.1.4 Dans le cadre d’une entreprise ?

Une telle méthode est surtout applicable par le particulier, soucieux de sa confidentialité, ou par l’utilisateur qui maîtrise les fonctionnalités avancées de son navigateur. Le désagrément engendré par le début de l’application de cette méthode est très souvent la source de son abandon. D’un autre côté une entreprise peut difficilement exiger de ses employés qu’ils passent du temps à se demander si tel cookie est nécessaire ou non (d’autant plus qu’en théorie ceux-ci ne soient pas supposés passer leur journée à surfer sur la toile)…

Il est possible de constituer puis de déployer la liste des règles concernant les cookies (obtenue par apprentissage) les plus nuisibles pour l’entreprise, par exemple pour Firefox il suffit de remplacer le fichier cookies.txt situé dans le répertoire du profil utilisateur par un fichier distribué par l’entreprise.

Il existe aussi des solutions logicielles (commerciales) qui effectuent ce choix automatiquement. Cela ajoute bien sûr un logiciel de plus sur le poste de travail.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

16/75

La sécurité à l’usage des PME et des TPE 2.5.2 Extension de la méthode d’apprentissage

La sécurité à l’usage des PME et des TPE

2.5.2

Extension de la méthode d’apprentissage à d’autres domaines

 

2.5.2.1

Langages scripts et orientés web

Internet s’est amélioré autour de nombreuses technologies destinées à le rendre plus puissant, mais donc plus dangereux: javascript, les applets java, microsoft activeX (par ordre croissant de dangerosité)…

Il

est souvent possible d’adopter la méthode décrite ci-dessus pour ces technologies, par exemple

javascript. La plupart des menus dynamiques et listes déroulantes fonctionnent avec javascript. Il est

déconseillé de désactiver javascript car beaucoup de sites Internet l'utilisent et ne sont pas consultables sans.

Il

existe une possibilité particulièrement intéressante offerte par une extension de Firefox, appelée

noScript, qui permet d’adopter l’approche de l’apprentissage décrite ci- dessous. Celle ci désactive javascript par défaut, mais permet par un simple clic de le réactiver au besoin, temporairement ou de façon permanente pour chaque site, de la même façon que la méthode de prévention décrite ci- dessus pour les cookies.

Concernant activeX, Firefox n’est tout simplement pas compatible ; seul Internet Explorer l’est, ce qui en fait un navigateur Internet très vulnérable. Il est donc conseillé de n’utiliser Internet Explorer que sur des sites de confiance. Quant aux applets Java, il n’y a pas beaucoup de possibilités d’amélioration de la sécurité sinon de mettre à jour régulièrement Java et d’éviter d’utiliser la machine virtuelle de Microsoft (utilisée par Internet Explorer par défaut).

Néanmoins certains Antivirus et pare-feux proposent une fonction de surveillance de ces scripts et langages, permettant d’adopter le même type de méthode sélective.

2.5.2.2

Pare-feux

 

Certains pare-feux logiciels, comme le pare-feu intégré à Windows XP ou Kerio Personal Firewall (gratuit) utilisent grandement la méthode d’apprentissage, principalement dans le domaine de l’autorisation d’accès à Internet par les applications (choix souvent binaire, bloquer/débloquer). Lors du premier lancement d’une application, le système demande à l’utilisateur si elle doit recevoir l’autorisation d’accès à l’Internet…

2.5.3

Conclusion

 

Ce court texte relatif à la navigation Internet peut être lu de deux façons :

w

d’une part comme des règles simples à effectuer permettant d’augmenter le degré de protection de la vie privée lors de la consultation de sites web face aux cookies

w

d’autre part cette approche (l’apprentissage) est une méthode applicable à divers domaines de

 

la sécurité, comme le javascript ou même les spywares, virus, pare-feux plus élégante car elle cumule légèreté et efficacité.

Cette méthode est la

 

A

partir du moment où l’on met en place un dispositif destiné à prévenir l’utilisateur et à lui demander

la permission (par exemple d’exécuter un logiciel, de stocker un cookie…), et que ce choix est mémorisable et réversible, après une période d’apprentissage on dispose d’un réglage sécuritaire relativement fin et adapté, que l’on peut même dans la majorité des cas (cela dépend de la solution logicielle choisie) propager dans l’ensemble du parc informatique de l’entreprise. La méthode est très souple et intuitive, et permet de ne pas se noyer dans la multitude d’automatismes contenus dans les logiciels dédiés, dont l’efficacité et la transparence restent en général assez confuses.

Comme souvent en sécurité, qui peut le plus peut le moins : n’activez des fonctionnalités avancées que lorsqu’elles sont strictement nécessaires …

2.6

LE CONTROLE ET LE FILTRAGE DU CONTENU

 

Auteur : Gabriel Gross (Dolphian) gabriel.gross@dolphian.com

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

17/75

La sécurité à l’usage des PME et des TPE 2.7 SE SECURISER PAR DES LOGICIELS

La sécurité à l’usage des PME et des TPE

2.7

SE SECURISER PAR DES LOGICIELS LIBRES ?

Auteur : Alain Germain (Idsoft) agdev@free.fr

2.7.1

Les caractéristiques des logiciels libres

Introduction :

Sur Internet, si vous lancez une recherche avec GOOGLE avec l’expression « logiciel libre », vous obtenez 798000 réponses.

Alors, marginal le phénomène logiciel libre ? Pas vraiment….

En tous cas, à défaut d’utilisation généralisée, on en parle beaucoup.

Plutôt que de rédiger cette partie de l’ouvrage dans un style doctoral (qui a dit ennuyeux ?), j’ai préféré un mode plus vivant sous forme de questions-réponses ce qui, à mon avis, présente 2 avantages :

indiquer modestement que cet exposé est forcément incomplet,

rendre la lecture plus vivante et plus concrète.

Toutes les questions évoquées ci après, je me les suis posées à un moment ou à un autre.

L’avantage que vous avez sur moi, c’est de trouver immédiatement les réponses dans les pages qui suivent tandis qu’il m’a fallu plusieurs jours ou plusieurs semaines pour arriver au même résultat.

Qu’est ce qu’un logiciel libre ? :

Selon l’AFUL (Association Francophone des utilisateurs de Linux et des logiciels libres) :

« sont considérés comme libres des logiciels disponibles sous forme de code source, librement redistribuables et modifiables selon les termes d’une licence de type GPL ou avoisinante ».

On trouve souvent dans la littérature anglo-saxonne le terme « Open Source ». En fait « Logiciel libre » en est la traduction francophone.

Qu’est que la licence GPL ? :

« Licence GPL » est la traduction francophone de « General Public License ».

C’est un ensemble de règles qui définit les droits et les devoirs des concepteurs, distributeurs et utilisateurs des logiciels libres. (Il existe d’autres formes de licences dérivées mais la GPL est très souvent utilisée).

Cette licence est l’équivalent (sur le plan juridique), des « conditions générales d’utilisation » que l’on trouve en tous petits caractères avec les logiciels propriétaires du commerce mais, à la différence de celles ci, qui cherchent à restreindre par tous les moyens vos droits d’utiliser, diffuser, recopier le logiciel, la licence GPL cherche, au contraire, à étendre les conditions d’utilisation dans le respect des droits fondamentaux des concepteurs et des utilisateurs.

Quelles sont les principales caractéristiques communes des logiciels libres?

Les conditions détaillées sont disponibles (en anglais) sur le site :

Pour faire simple :

www.opensource.org

liberté de diffuser et d’utiliser le logiciel sous réserve de diffuser également les termes de la

licence qui le gère. liberté de connaître le fonctionnement détaillé du logiciel par le code source qui doit être diffusé (ou mis à disposition, par exemple sur Internet) par le concepteur.

On verra plus loin les conséquences de cette règle en terme de sécurité.

16 août 2005

liberté de modifier ou d’intégrer tout ou partie d’un logiciel libre existant dans son propre logiciel à condition d’étendre les règles de la licence du logiciel d’origine au logiciel « enveloppe ».

copyright etna France – Voir en dernière page pour les droits de reproduction

18/75

La sécurité à l’usage des PME et des TPE Un logiciel libre est -il gratuit

La sécurité à l’usage des PME et des TPE

Un logiciel libre est -il gratuit ? :

Pas forcément…

Mais comme un logiciel libre qui emploie des composants libres et gratuits (provenant de Linux par exemple) ne peut être lui-même que gratuit, on conçoit que le nombre de logiciels libres payants soit singulièrement limité.

Par contre les services associés à ces logiciels (supports de distribution, manuels, assistance technique, développements spécifiques, formation, etc…) sont en général rémunérés.

Comment est -il possible que des logiciels diffusés gratuitement offrent des performances identiques ou meilleures que celles de logiciels du commerce ? :

Difficile à croire mais pourtant c’est vrai !

Les équipes de développement des projets importants sont loin d’être pléthoriques (une dizaine à une centaine de personnes au maximum) mais sont extrêmement compétentes dans leur domaine.

Les recettes proviennent de dons de particuliers ou d’entreprises, de ventes de produits dérivés et surtout de prestations spécifiques permettant d’assurer un revenu correct aux participants.

Il est clair qu’au royaume des logiciels libres, l’appât du gain n’est pas le moteur principal de motivation.

De plus et par le biais d’Internet, beaucoup de bénévoles répartis dans le monde entier (plusieurs milliers dans le cadre de projets importants) apportent leur contribution en réalisant des travaux annexes mais absolument indispensables tels que les tests logiciels, l’administration des versions successives, la réalisation de la documentation, les traductions, le packaging, etc…

La seule motivation de ces personnes est d’apporter leur pierre à l’édification de l’entreprise commune (toute ressemblance avec les contributeurs du présent ouvrage ne serait pas fortuite).

2.7.2

Les principaux logiciels libres

2.7.2.1

applications système, réseaux

Je suppose que vous voulez parler de Linux ? :

En effet, mais pas uniquement. Il existe d’autres systèmes d’exploitation (FreeBSD par exemple) mais leur diffusion reste marginale.

Le développement de Linux a été entrepris en 1991 par un étudiant à l’université d’Helsinki, Linus Torvalds qui souhaitait construire un nouveau système d’exploitation en s’inspirant du système Unix qui existait déjà depuis plus de trente ans.

Son travail a attiré l’attention de très nombreux universitaires dans le monde entier qui, grâce à l’ Internet, ont apporté leur pierre à l’édifice et permis d’obtenir ce qu’est Linux aujourd’hui.

Même si la diffusion de Linux reste encore modeste, il est des secteurs où sa part de marché est importante. Environ 25% des serveurs Internet fonctionnent sous Linux. Dans les autres secteurs, la progression de Linux est variable mais elle est générale. De plus en plus de personnes apprécient la qualité des logiciels libres, la sécurité et la gratuité.

Il faut absolument citer deux logiciels libres utilisés pour les applications réseaux :

« Samba » » est un logiciel utilisé dans un réseau local pour relier des postes de travail dans des environnements hétérogènes (Linux, Windows, Apple, etc…). Il est vraiment incontournable dès qu’il s’agit de faire dialoguer et échanger plusieurs machines en local.

« Apache » est un logiciel serveur Web. Aujourd’hui, 60% des serveurs Web utilisent ce logiciel pour gérer les échanges.

En fait, sans Internet, Linux n’existerait peut être pas et sans Linux et les logiciels libres, la révolution Internet n’aurait sans doute pas eu lieu.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

19/75

La sécurité à l’usage des PME et des TPE 2.7.2.2 applications généralistes (Web, bureautique, multimédia)

La sécurité à l’usage des PME et des TPE

2.7.2.2 applications généralistes (Web, bureautique, multimédia)

Existe-il- des logiciels libres fonctionnant sous Windows ? :

De plus en plus de développeurs proposent des versions de leurs logiciels libres fonctionnant également sous Windows.

La plus grosse partie du travail de développement se trouve dans la définition des caractéristiques et la programmation des fonctionnalités; ceci se fait indépendamment du système d’exploitation sur lequel le logiciel sera réalisé.

L’adaptation du logiciel à un système vient en tout dernier et consiste à apporter quelques retouches spécifiques, à compiler le programme avec les bibliothèques de chaque système et à élaborer les procédures d’installation.

Cette conception multi-systèmes permet une diffusion beaucoup plus large des logiciels pour la plus grande satisfaction des utilisateurs et des développeurs.

Puis-je

j’utilise? :

Plusieurs centaines d’applications libres sont disponibles.

Plutôt que de tenter de dresser une liste exhaustive, je préfère indiquer quelques logiciels que j’utilise au quotidien et dont je garantis la qualité de réalisation et la richesse des fonctions. « Firefox » est un navigateur Web extraordinaire. Occupant peu de volume en mémoire, très rapide, il est extrêmement sécurisé : il n’accepte pas les « contrôles Active X » susceptibles de contenir des codes nuisibles. Il est possible de lui adjoindre un grand nombre de « plugs -ins » pour améliorer ses possibilités (en particulier « Adblock » qui permet de bloquer l’affichage de pages ou de messages de publicités ).

« Thunderbird » est un logiciel de messagerie très convivial et très bien sécurisé. Il dispose en standard d’un module de filtrage des « spams » par auto-apprentissage. Après quelques jours, il est capable de rejeter entre 95 et 99% des messages polluants.

« Open Office » est une suite complète d’outils bureautiques comprenant un traitement de texte, un tableur, un logiciel de présentation et en prime, un outil de dessin. Bien qu’il utilise un mode de stockage des données différent de celui de la suite «Office » de Microsoft, il est capable de récupérer tous les documents générés sous « Word », « Excel » et «Powerpoint ». Par contre si les documents comportent des « macros », celles ci ne seront pas récupérées ce qui est plutôt une bonne chose car elles sont parfois un vecteur important de transmission de codes nuisibles.

retrouver, dans les logiciels libres, l’équivalent des logiciels commerciaux que

« MySql » est un gestionnaire de bases de données, concurrent crédible de « Access ».

« Gimp » est logiciel de retouches et de traitement d’images.

« Mplayer » est un lecteur multimédia qui lit à peu près tous les formats audio et vidéo.

« K3B » permet de graver tous les formats de CD (données, musique, etc )

2.7.2.3 applications spécifiques

Si j’envisage une migration sous Linux, puis-je continuer à utiliser les logiciels spécifiques que j’avais fait développer pour mes propres applications? :

Tout dépend de quelle façon et avec quel langage, ces logiciels ont été développés.

Si ceux ci ont été développés en « langage C » ou en « Java » vous n’aurez sans doute pas de gros problèmes pour les adapter sous Linux (Linux lui-même est développé en « langage C »).

Dans les autres cas, la charge de travail nécessaire est à établir au cas par cas.

Si le travail est important ou que vous ne pouvez pas disposer du code source, il reste peut-être une solution :

Il est existe un logiciel libre spécialisé « Wine » qui permet de faire fonctionner sous Linux des logiciels développés pour Windows.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

20/75

La sécurité à l’usage des PME et des TPE Le résultat n’est pas garanti. Vous

La sécurité à l’usage des PME et des TPE

Le résultat n’est pas garanti. Vous pouvez avoir une compatibilité totale, pas de fonctionnement du tout ou perdre certaines fonctionnalités. Dans tous les cas, cela vaut la peine d’essayer…

2.7.3

Les apports des logiciels libres à la sécurité

2.7.3.1

sécurité système

système

Windows ? :

Au départ, Windows a été conçu comme un système à interface graphique, intuitif, facile à utiliser de manière à séduire le plus grand nombre possible de personnes. A cette époque cet objectif n’était pas si facile à réaliser compte tenu des possibilités limitées des matériels et il a été nécessaire de faire des sacrifices et des compromis sur certaines caractéristiques (dont les aspects de sécurité).

Pouvez

vous

m’expliquer

pourquoi

un

système

Linux

serait

plus

sûr

qu’un

En bref, Windows a été bâti comme un système convivial mais peu protégé et tous les ajouts ultérieurs concernant la sécurité ont consisté à corriger les failles, au fur et à mesure de leur découverte, par des rustines logicielles.

Pour être objectif, des progrès importants ont été réalisés (avec XP SP2 en particulier) mais il faudra attendre la sortie du prochain système d’exploitation de Microsoft (Longhorn) pour bénéficier (je l’espère !) d’un système véritablement sécurisé.

Au contraire, Linux prend en compte les impératifs de sécurité dès la rédaction du cahier des charges. «Linux doit être un système multi-tâches et multi-utilisateurs où toutes les données et toutes les applications de chaque personne sont gérées sans risques et sans interférences ».

Le développement de Linux s’est fait à partir de ces principes qui n’ont jamais été transgressés au cours de l’évolution du système.

Tout au plus a-t-on ajouté des utilitaires graphiques conviviaux pour faciliter la gestion de la sécurité.

Comment la sécurité des données et des applications est-elle gérée au quotidien sous Linux ? :

C’est un des aspects importants de la sécurité et tout à fait représentatif de la manière dont Linux traite ce genre de questions, c’est à dire de façon simple et compréhensible.

Linux connaît quatre catégories possibles d’intervenants possibles (n’oublions pas que Linux est un système multi-utilisateurs) :

« l’administrateur ». Il a droit de vie et de mort sur toutes les données, tous les programmes et les paramètres du système. L’accès au statut d’administrateur est protégé par un mot de passe qu’il est vivement conseillé de conserver en lieu sûr car en cas d’oubli, il est extrêmement difficile d’accéder au système (et ne comptez pas sur moi pour vous expliquer comment faire…)

« les utilisateurs ». Chacun possède son propre ‘espace’ où il gère ses données et ses programmes comme il l’entend.

« les groupes d’utilisateurs ». Plusieurs utilisateurs ayant des objectifs communs (travaillant sur un même projet) peuvent avoir intérêt à partager des applications et des données.

« les autres ». Les autres personnes connectées au système avec qui des échanges ponctuels peuvent être souhaitables.

Par ailleurs Linux connaît quatre types d’accès aux données et aux applications :

pas d’accès du tout ( !)

accès en consultation

accès en écriture

accès en exécution (pour les programmes).

La gestion des droits se résume pour un utilisateur à définir pour chaque fichier lui appartenant (donnée ou programme) les autorisations qu’il accorde ou non à chaque catégorie d’intervenant.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

21/75

La sécurité à l’usage des PME et des TPE Rassurez-vous ! Il existe des options

La sécurité à l’usage des PME et des TPE

Rassurez-vous ! Il existe des options par défaut et des outils conviviaux de gestion de ces droits, mais le principe est simple et cela fonctionne très bien.

2.7.3.2 sécurité Internet

Dans la liste des logiciels libres fonctionnant sous Linux, je n’ai pas vu de programmes antivirus. Est-ce un oubli ? :

Mauvaise nouvelle : Il n’y a pas de logiciels antivirus sous Linux.

Bonne nouvelle : Il n’y a pas besoin de logiciels antivirus car il n’y a pas de virus sous Linux.

On justifie souvent cette absence de virus par la raison suivante :

L’objectif des individus malfaisants qui élaborent les virus est de nuire au plus grand nombre ; or, la diffusion de Linux, à ce jour, (hormis quelques secteurs évoqués précédemment) reste minime par rapport au grand frère Windows d’où le désintérêt des « hackers ».

Je pense que la véritable raison est autre :

En dehors des « amateurs » qui trouvent très amusant d’afficher une tête de mort sur l’écran d’un PC distant en même temps qu’on reformate le disque dur, aujourd’hui, la motivation principale des pirates est de prendre le contrôle des micros à des fins illicites tels que envois de «spams », déclenchement de dénis de service, etc…

Pour cela il faut accéder au système ce qui est tout à fait impossible sous Linux (à moins d’être connecté à Internet avec le statut « administrateur » ce qui est une erreur gravissime).

Il reste bien sûr possible de nuire à un utilisateur en modifiant certains de ses fichiers et répertoires mais les conséquences, pour désagréables qu’elles soient, restent limitées.

Par conséquent, et pour pas mal de temps encore, la navigation sur Internet sous Linux avec des logiciels libres offre un niveau de sécurité exceptionnel.

2.7.3.3 sécurité d’utilisation

Pourquoi aurais-je plus confiance dans des logiciels libres que dans des logiciels commerciaux de fournisseurs connus ? :

Essentiellement pour des raisons de confidentialité…

Vous avez l’assurance qu’un logiciel libre ne comporte pas de parties de code cachées qui vont collecter, à votre insu, des informations sur votre configuration, vos fichiers, vos habitudes de surf sur Internet pour les rediffuser à des tiers dans des buts inavoués.

L’obligation faite, dans le cadre des logiciels libres, de diffuser ou rendre disponible l’intégralité du code source, dissuade toute entreprise ou développeur mal intentionné d’attenter à votre vie privée à votre insu.

De plus, comme la modification des logiciels libres est autorisée, il serait tout à fait possible et légal de supprimer ou contourner cette partie de code.

Il n’est pas question d’examiner personnellement les codes sources des programmes ; mais en cas de doute, soyez assurés que d’autres personnes le feront et s’il s’avère que des codes malveillants sont inclus dans un logiciel applicatif, l’information sera diffusée très rapidement et le logiciel ne survivra pas très longtemps à cette découverte.

Les logiciels libres sont-ils exempts de bugs ? :

Non. La présence de bugs dans les développements informatiques est inévitable quelles que soient les précautions prises et la qualité des tests pratiqués mais le comportement des logiciels fonctionnant sous Linux se démarque fortement de celui observé sous Windows.

Avec Windows, vous avez sûrement été déjà confronté à l’écran bleu vous informant qu’une erreur s’est produite et même l’appui simultané des touches Ctrl + Alt + Sup ne suffit pas à débloquer le système. Il ne reste plus qu’à basculer rageusement l’interrupteur secteur du micro avec les risques de pertes d’informations qui en résultent.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

22/75

La sécurité à l’usage des PME et des TPE Avec Linux, ce cas de figure

La sécurité à l’usage des PME et des TPE

Avec Linux, ce cas de figure est tout bonnement impossible car chaque logiciel fonctionne dans sa propre zone mémoire sans empiéter sur les programmes voisins et surtout pas sur la zone système.

Si un logiciel se trouve bloqué (à la suite d’un bug ou d’une erreur de manipulation), les autres programmes continueront de fonctionner normalement.

Il existe d’ailleurs, une commande de Linux (le « killer » symbolisé dans l’interface graphique par une tête de mort) qui permet de détruire n’importe quel processus en cours (bloqué ou pas).

Au pire, si c’est l’interface graphique qui est concerné par le blocage, il suffit de passer Linux en mode caractère par appui d’une touche du clavier et arrêter ensuite correctement le système d’exploitation sans perte de données.

2.7.3.4

sécurité de maintenance et d’évolution

Puis-je bénéficier des évolutions et des améliorations des logiciels libres ? :

Bien sûr. La plupart des logiciels libres proposent de se connecter périodiquement sur leur site pour vérifier si une nouvelle version ou une mise à jour du logiciel est disponible.

Si vous consultez le site de téléchargement d’un logiciel libre, vous allez être surpris par le nombre de versions différentes proposées.

On distingue en général les versions « bêtas » (dont le développement n’est pas figé et quoi font encore l’objet de tests) et les versions « stables » (que l’on considère comme suffisamment débuguées pour être utilisées sans risque majeur de disfonctionnement).

Dans tous les cas, chaque version est accompagnée de la liste complète des erreurs corrigées, des nouvelles fonctionnalités ainsi que des contraintes éventuelles d’environnement.

La transparence est totale. A vous de choisir les nouvelles fonctionnalités qui vous intéressent et le niveau de « risque » que vous pouvez consentir.

En contrepartie, si vous découvrez un bug dans une application, transmettez le problème au développeur sur son site Internet. Vous aurez ainsi la satisfaction de participer également à la vie de la communauté des logiciels libres.

Existe- il une assistance à l’installation, à l’utilisation, au dépannage des logiciels libres ? :

C’est une caractéristique spécifique de la communauté des logiciels libres.

Quel que soit votre problème, vous n’êtes jamais seul.

Il existe un grand nombre de sites Internet (y compris, bien sûr, celui des développeurs du logiciel que vous voulez utiliser) qui proposent des tutoriaux et des forums d’aide et d’assistance.

Commencez par chercher si d’autres utilisateurs n’ont pas rencontré les mêmes difficultés que vous et comment celles-ci ont été résolues.

Si vous ne trouvez pas de réponse, n’hésitez pas à exposer votre problème (anonymement, si vous le souhaitez). Vous serez surpris du nombre de personnes qui vont se mobiliser pour essayer de vous aider bénévolement.

2.7.4

Les embûches liées à l’utilisation des logiciels libres (et comment les éviter)

2.7.4.1

aspects techniques

J’ai entendu dire que Linux était très difficile à installer ? :

Le

commandes incompréhensibles par un non-initié tapées au clavier sans souris et sans écran

des

temps

Linux

fonctionnait

uniquement

en

ligne

de

commande

(c’est

à

dire

avec

graphique) fait définitivement partie du passé.

De plus, l’installation est considérablement simplifiée si vous utilisez une « distribution » Linux.

Qu’est ce qu’une « distribution » Linux ? :

Une « distribution » Linux est un ensemble de logiciels comprenant :

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

23/75

La sécurité à l’usage des PME et des TPE un système Linux, une interface graphique

La sécurité à l’usage des PME et des TPE

un système Linux,

une interface graphique (ou plusieurs),

un automatisme d’installation et de paramétrage du système,

des utilitaires de gestion du système,

un certain nombre de logiciels applicatifs.

Plusieurs sociétés proposent ce genre de « distributions » ; les plus importantes sont « Mandriva » (anciennement « Mandrake »), « Red Hat » et « Suse » mais il en existe beaucoup d’autres.

Les logiciels peuvent être téléchargés sur Internet ou sont disponibles sous forme d’ensemble de CD accompagnés d’une notice d’utilisation vendus pour une somme modique dans des boutiques informatiques.

Je conseille vivement d’utiliser une de ces distributions. L’installation de Linux devient un jeu d’enfant (ou presque…) ; les opérations un peu délicates telles que le partitionnement du disque dur se font en toute sécurité. Le paramétrage du système (langage, utilisateurs, reconnaissance des périphériques) se réalise de façon très conviviale.

Comment fait-on l’installation des logiciels applicatifs ? :

Auparavant, l’installation d’application comprenait un certain nombre d’étapes :

compilation du code source,

recherches des « dépendances » (sous-programmes),

liaison des dépendances,

configuration,

installation des modules.

Un vrai cauchemar ! De quoi décourager la personne la plus motivée !

Ces étapes existent toujours mais les créateurs de « distributions » ont incorporé dans celles-ci des utilitaires d’installation et de désinstallation qui automatisent complètement les différentes opérations.

La très grande majorité des concepteurs de logiciels libres diffusent maintenant leurs programmes sous une forme compatible avec ces utilitaires d’installation/désinstallation (les « paquetages »).

La coexistence de Linux et Windows sur un même micro est-elle possible ? :

Tout à fait ! Si vous possédez un micro-ordinateur équipé de Windows et que vous disposez d’une dizaine de gigaoctets disponibles sur le disque dur vous pouvez créer une « partition » supplémentaire pour accueillir Linux et ses applications.

Bien entendu, les deux systèmes ne fonctionnent pas simultanément ; c’est au démarrage du micro- ordinateur que l’utilisateur choisit le système d’exploitation qu’il veut utiliser.

A noter que Linux est parfaitement capable de lire et d’écrire des informations sur la partition réservée normalement à Windows.

L’inverse n’est pas vrai. Windows ignore complètement l’existence de Linux sur le même disque dur.

Les périphériques (imprimantes, scanners, modems, etc fonctionneront-ils également avec Linux ? :

Les constructeurs de périphériques fournissent avec leur matériel des petits programmes appelés pilotes (ou drivers) et qui servent au dialogue entre le périphérique et le système d’exploitation.

La plupart des constructeurs élaborent à la fois des pilotes pour Windows et pour Linux. Il arrive néanmoins que pour des matériels anciens (ou trop nouveaux !) ou à diffusion très limitée, les pilotes Linux ne soient pas disponibles et dans ce cas le périphérique ne pourra pas fonctionner normalement.

Il est indispensable, dans le cas d’une migration vers Linux, de vérifier que ces pilotes existent et de les télécharger depuis les sites Internet des constructeurs.

Windows

)

que

j’utilise

avec

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

24/75

La sécurité à l’usage des PME et des TPE 2.7.4.2 aspects migratoires Quelle stratégie utiliser

La sécurité à l’usage des PME et des TPE

2.7.4.2

aspects migratoires

Quelle stratégie utiliser pour migrer vers les logiciels libres ? :

Il n’y a pas de réponse générale à cette question.

La stratégie est à étudier au cas par cas en fonction de vos impératifs d’exploitation et des caractéristiques du parc installé.

La migration d’un parc de quelques machines peut généralement être réalisée en fin de semaine (pendant l’arrêt de l’activité). Le changement est quasiment transparent pour le fonctionnement de l’entreprise.

A

l’opposé, dans une entreprise fonctionnant 7 jours sur 7 et 24 heures sur 24, on préférera

probablement migrer poste par poste même si l’opération totale couvre plusieurs semaines.

faut avoir à l’esprit que Linux gère parfaitement des réseaux hétérogènes comportant des machines équipées de systèmes d’exploitation différents.

Il

Néanmoins à terme, l’homogénéité du parc est souhaitable pour faciliter la maintenance et les évolutions.

Dans tous les cas, définissez précisément et clairement la stratégie que vous allez utiliser et vérifiez, avant le début de la migration, que vous disposez bien de tous les composants logiciels nécessaires.

2.7.4.3

aspects psychologiques

De quels problèmes parlez-vous ? Vous m’aviez dit que les programmes tournant sous Linux ressemblent énormément à leurs homologues fonctionnant sous Windows? :

C’est vrai ! Non seulement les fonctionnalités sont les mêmes mais l’ergonomie est très voisine. L’utilisation de la souris et des raccourcis claviers sont identiques.

Le fonctionnement de Linux en mode caractère est révolu (sauf, éventuellement pour l’administrateur du système).

Néanmoins, ne sous estimez pas l’impact psychologique et la résistance au changement.

Personne ne vous dira en face qu’il est frustré parce qu’il n’a plus la photo de son dernier-né comme fond d’écran ou qu’il ne peut plus faire sa partie quotidienne de «Démineur » ou de « Solitaire » après le déjeuner.

En lieu et place vous risquez de vous heurter à une critique vague mais systématique (« Ca ne fonctionne pas… », « Je ne peux plus travailler aussi rapidement… », etc…).

Pour éviter ce genre de désagréments, prenez les devants.

Expliquez aux futurs utilisateurs du nouveau système les avantages pour votre entreprise et pour eux-mêmes.

Si

possible, trouvez un ou deux « volontaires » curieux de nature et ouverts aux nouveautés et aux

évolutions à qui vous prodiguerez une formation détaillée.

Ces personnes apprécieront de jouer le rôle de «pionniers » et seront ultérieurement en mesure d’aider et conseiller leurs collègues pour les problèmes courants et répétitifs.

2.7.5

Bilan

Dans quels cas, le passage aux logiciels libres est-il souhaitable ? :

Une configuration avec deux postes de travail autonomes utilisant des logiciels bureautiques standards ne requiert sans doute pas une décision de basculement rapide.

C’est néanmoins une opportunité de tester les logiciels libres pratiquement sans risques de perturbations.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

25/75

La sécurité à l’usage des PME et des TPE N’oublions pas qu’il est parfaitement possible

La sécurité à l’usage des PME et des TPE

N’oublions pas qu’il est parfaitement possible de faire coexister deux systèmes d’exploitation (Linux et Windows) sur le même micro-ordinateur ; A chaque démarrage, l’utilisateur sélectionne le système qu’il souhaite activer.

La population directement concernée par une migration semble plutôt celle des entreprises disposant de cinq à plusieurs dizaines de postes de travail reliés entre eux par un réseau local.

Dans ce cas, les gains en terme de sécurité et d’économies de fonctionnement sont les plus rapides

et les plus substantiels.

La migration vers les logiciels libres me semble intéressante mais j’aimerais en faire l’expérience sans toucher au système existant. Est ce possible ? :

Oui, bien sur !

Une première solution consiste à utiliser certains logiciels libres disponibles sous Windows (bureautique, navigateurs, …) pour juger de leurs avantages et ensuite les désinstaller si nécessaire (A la différence de certains logiciels commerciaux, tous les logiciels libres que je connais proposent une option de désinstallation et ne laissent aucune trace sur le micro-ordinateur).

Bien évidemment dans ce cas, vous ne bénéficierez pas des avantages de sécurité que vous apporte Linux mais vous pourrez au moins juger de la richesse et de la qualité des fonctionnalités offertes.

Une autre solution consiste à utiliser une «distribution amovible » (Knoppix par exemple). Il s’agit d’un CD-ROM sur lequel se trouve un système Linux, une interface graphique et une quinzaine de logiciels d’applications générales.

Il suffit de placer le CD-ROM dans le lecteur et de démarrer le micro-ordinateur et celui ci va charger automatiquement le système Linux en mémoire sans rien installer sur le disque dur.

Les seuls inconvénients sont que les temps de chargement des logiciels sont assez longs (puisque chargés depuis le CD-ROM et non du disque dur) et que les paramètres ne sont pas conservés (à moins de disposer d’une clé USB) à l’arrêt du système.

A l’extinction du micro, il ne reste aucune trace de Linux ou des programmes sur le disque dur.

Comment dois-je procéder, en cas de décision de migration, pour avoir le maximum de chances de réussite ? :

Cette question est essentielle, c’est pourquoi je l’ai gardée pour la fin…

Il y a un certain nombre d’étapes clés qui doivent être systématiquement réalisées même si certaines peuvent être faites très rapidement :

Description précise et quantitative de l’existant (parc micro, réseaux, logiciels utilisés… ) et

prévisions d’évolution à court terme (un an). Recherche des logiciels nécessaires.

Elaboration d’une stratégie de déploiement.

Chiffrement des dépenses et des économies prévues et validation des choix.

Mise en œuvre.

Validation des résultats.

Cette démarche peut être entreprise :

Soit par vous-même si vous disposez d’un peu de temps et si vous avez quelques

connaissances en informatique. Soit en déléguant ce travail à la personne de votre entreprise qui s’occupe habituellement

du système informatique (sous réserve qu’elle soit curieuse et réceptive aux idées d’évolutions et qu’elle dispose de quelques disponibilités). Soit en faisant appel à un conseil extérieur qui vous apportera sa compétence et son expérience en toute objectivité et sécurité (cette solution s’impose pratiquement dès que la taille et les conséquences stratégiques sont importantes).

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

26/75

La sécurité à l’usage des PME et des TPE 3 LES SERVICES 3.1 CONCILIER SECURITE

La sécurité à l’usage des PME et des TPE

3

LES SERVICES

3.1

CONCILIER SECURITE ET SIMPLICITE D'ADMINISTRATION

Auteur : Thierry Rouquet (ARKOON Network Security) trouquet@arkoon.net

3.2

LES ASPECTS DE NOMS DE DOMAINES SUR INTERNET

Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) etna@caleff.com

3.3

ANALYSE DE RISQUES

Auteur : Eleonore Sichel -Dulong (EXEDIS) esicheldulong@exedis.fr

3.4

POLITIQUE DE GESTION DE VULNERABILITES ET DES CORRECTIFS

Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) etna@caleff.com

3.5

PLANS DE CONTINUITE D'ACTIVITE

Auteur : Eleonore Sichel -Dulong (EXEDIS) esicheldulong@exedis.fr

3.6

LE DEPLOIEMENT DES PATCHS

Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) etna@caleff.com

3.7

LA DETECTION D’INTRUSIONS

Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) etna@caleff.com

3.8

EXTERNALISER SA SECURITE ?

3.8.1

Externaliser la veille stratégique

Auteur : Jean-Marc Beignon (E=(SC)2) jmbeignon@aol.com

3.8.2

Externaliser la détection d’intrusions

Auteur : Pierre Gojat (France Télécom SCE/DGC) pierre.gojat@francetelecom.com

3.8.3

Externaliser la gestion des outils de sécurité

3.8.4

Externaliser la sauvegarde des données

Auteur : Pierre Gojat (France Télécom SCE/DGC) pierre.gojat@francetelecom.com

3.8.5

Externaliser le site Web institutionnel

Auteur : Pierre Gojat (France Télécom SCE/DGC) pierre.gojat@francetelecom.com

3.8.6

Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance ?

Auteur : Gérald Souyri (Thales Security Systems) gerald.souyri@thales -security.com

3.9

LES NOUVELLES INFRASTRUCTURES DE SECURITE ORIENTEES SERVICE

Auteur : Michel Habert (Netcelo) michel.habert@netcelo.com

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

27/75

La sécurité à l’usage des PME et des TPE 3.9.1 La sécurité du système d’information

La sécurité à l’usage des PME et des TPE

3.9.1

La sécurité du système d’information de l’entreprise

La sécurité est vitale pour un système d’information (SI) sur lequel repose le fonctionnement de l’entreprise. Son rôle est de protéger le système d’information et de le maintenir à l’état opérationnel. Elle constitue un des piliers de l’intelligence économique considérée comme un enjeu de compétitivité et qui peut se définir comme la protection et la maîtrise de l’information sous toutes ses formes.

L’entreprise s’ouvre au monde extérieur. La prise en compte des nouvelles techniques: internet, réseaux à hauts débits, mobilité, convergence est essentielle pour sa compétitivité et sa productivité. Elle doit également s’adapter aux changements et aux évolutions qui sont de plus en plus fréquents, en effet les nouvelles techniques sont mises de plus en plus rapidement sur le marché. Le système d’information doit être agile et flexible pour s’adapter en permanence à toute forme de changement :

organisationnelle, technique, fonctionnelle,

La prise en compte de la sécurité d’un système d’information doit être globale, multi-niveaux et de bout en bout. C’est la chaîne de liaison depuis l’utilisateur jusqu’à l’application qui doit être sécurisée. Enfin, la sécurité ne se résume pas à acquérir et à mettre en service des équipements de sécurité. La sécurité ce sont également des processus. La sécurité demande au-delà de l’administration, un suivi qui se traduit par des contrôles, une supervision et une surveillance constants. Ces tâches sont lourdes, complexes et coûteuses à mettre en œuvre car elles doivent être assurées de manière permanente.

3.9.2

Les infrastructures de sécurité

Une infrastructure c’est l’ossature d’un système qui comprend un ensemble de services qui agit dans des domaines : traitements, réseau, données, sécurité, applications. On peut distinguer ainsi dans un système d’information, plusieurs types d’infrastructures. Un des avantages d’une approche de type infrastructure est de traiter un domaine dans sa globalité.

Une infrastructure de sécurité globale, multi-niveaux et de bout en bout concerne tous les acteurs et toutes les ressources du système d’information : utilisateurs, administrateurs, équipements, réseaux internes et externes. Nous utilisons la terminologie de CPE (Customer Premise Equipment) pour désigner de manière générique un équipement informatique. Un système d’information est composé de CPEs connectés à des réseaux (LAN, SAN, WAN).

Pour assurer la sécurité, des fonctions de sécurité sont intégrées aux équipements.

Pour disposer d’une gestion globale de la sécurité dans une configuration d’entreprise étendue constituée de plusieurs sites et de points d’extrémité distants, l’infrastructure de sécurité formée de l’ensemble des fonctions de sécurité des CPEs implique l’existence d’un système de pilotage centralisé appelé Centre d’Opérations de Sécurité (SOC). Ce système va également apporter des services complémentaires de sécurité pour compléter les fonctions de sécurité des équipements (CPEs) , par exemple des services de PKI, d’annuaire, …

3.9.3

Le niveau de service de la sécurité

Que recouvre la sécurité ? Si on utilise comme définition de la sécurité : la protection et le maintien du SI à l’état opérationnel conformément aux exigences d’un objectif de niveau de service, la sécurité dépasse le cadre de la protection, elle comprend également la disponibilité des ressources, les performances et plus généralement la qualité de service qui correspond à un fonctionnement conforme à un niveau de service attendu mesurable grâce à des indicateurs.

L’élaboration par l’entreprise d’une politique de sécurité a comme but de définir précisément quel est l’objectif de niveau de sécurité pour le système d’information. Elle permettra la mise en place d’une sécurité adaptée aux besoins de l’entreprise.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

28/75

La sécurité à l’usage des PME et des TPE 3.9.4 Services et domaines Une approche

La sécurité à l’usage des PME et des TPE

3.9.4 Services et domaines

Une approche service nécessite une modélisation d’un système sous la forme de services. Cette modélisation commence au niveau de l’expression des besoins qui devra être faite en termes de service.

Sur les plans techniques et fonctionnels des services seront définis sur la base du regroupement en « services » de fonctions fortement couplées. La règle de base pour distinguer deux services est qu’ils soient faiblement couplés sinon ils doivent être regroupés.

Une deuxième étape est le regroupement de services proches sur le plan fonctionnel en domaines. Un domaine sera supporté par une infrastructure. Une infrastructure de sécurité supporte des domaines de sécurité composés de services de sécurité.

Prenons l’exemple du domaine de la surveillance.

Une infrastructure globale de surveillance va supporter toutes les fonctions de surveillance regroupées en services pour tous les domaines du système d’information : traitements, réseaux, données.

Surveillance Surveillance Surveillance Surveillance Surveillance Surveillance Surveillance Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
Surveillance
applications
applications
applications
applications
système
système
système
système
réseau
réseau
réseau
réseau
sécurité
sécurité
sécurité
sécurité
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
Ressources
applications
applications
applications
applications
système
système
système
système
réseau
réseau
réseau
réseau
sécurité
sécurité
sécurité
sécurité

Figure 1: Les infrastructures orientées service

Domaine de la surveillance

Domaine de la surveillance

Infrastructure de surveillance

Infrastructure de surveillance

Infrastructure de surveillance

Infrastructure de surveillance

de surveillance Infrastructure de surveillance Toutes les ressources Toutes les ressources Toutes les

Toutes les ressources

Toutes les ressources

Toutes les ressources

Toutes les ressources

On peut raisonner de manière identique pour d’autres services de sécurité comme l’identification, les contrôles d’accès, la protection périmétrique, la supervision, la sécurité réseau, la sauvegarde des données.

La sécurité globale du SI va ainsi se traduire par un ensemble d’infrastructures orientées service classées en domaines.

3.9.5 La gestion des services

Un autre aspect des services est la gestion des services. La gestion des services est formalisée par la Méthode ITIL (Information Technology Infrastructure Library). Le « Service Management » représente le cœur de la méthode ITIL qui définit les besoins clients en terme de services. Cette méthode est complétée par la norme BS 15000 (British Standard for IT Service Management) destinée à garantir l’utilisation effective des meilleures pratiques en gestion de services pour une organisation.

Les principes de base d’ITIL sont :

w

Focalisation client: qui doit être au centre des préoccupations.

w

Cycle de vie : Les attentes en terme de services doivent prendre en compte toutes les phases d’une entité depuis sa création jusqu’à sa disparition.

w

Processus : L'approche processus permet de garantir une qualité de service au moindre coût.

La gestion des services inclut principalement le support des services et la délivrance des services. Elle se traduit par des services professionnels (help-desk), ainsi que par des services et des

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

29/75

La sécurité à l’usage des PME et des TPE processus qui seront intégrés au centre

La sécurité à l’usage des PME et des TPE

processus qui seront intégrés au centre d’opérations des services pour le traitement des incidents, la correction des problèmes, la gestion des configurations, les mises à jour, les nouvelles versions, la gestion du niveau de service, la disponibilité, la gestion de la capacité, la continuité des services et la gestion financière.

3.9.6 Les évolutions des infrastructure

Les infrastructures des systèmes d’information bénéficient aujourd’hui de l’avancée des techniques dans de nombreux domaines : processeurs de plus en plus puissants, réseaux LAN et WAN à haut débit, réseaux sans fil, connectivité planétaire grâce à l'Internet, capacités de stockage de plus en plus importantes, environnements d’intégration (ESB) et architectures orientées service (SOA). Ces avancées facilitent les évolutions des systèmes d’informations. La démarche de consolidation est essentielle pour optimiser ces évolutions.

3.9.7 La consolidation

Consolider consiste à regrouper des ressources dispersées dont l’utilisation n’est pas forcément optimisée et à les réduire si possible en une seule ressource dont l’utilisation sera optimisée et plus aisée à gérer

La consolidation est facilitée par des techniques comme:

w

La convergence,

w

L’intégration de services,

w

La virtualisation,

w

les environnements d’intégration et les architectures orientés service

w

les services administrés.

La convergence

La convergence c’est par exemple utiliser un seul type de réseau : IP pour transporter tout type d’informations : données, voix, video. Mais elle concerne également les protocoles de communication, les infrastructures de traitement (stations et serveurs), les applications, les interfaces graphiques.

La convergence a pour but de simplifier les infrastructures et elle exploite les nouvelles techniques comme par exemple les réseaux à haut débit. Dans le domaine des échanges sécurisés, les VPN IPSec construits sur des réseaux IP économiques vont permettre à des PME/TPE de déployer des réseaux d’interconnexion à haut débit sécurisés. Les nouvelles techniques de SAN iSCSI qui utilisent le protocole IP vont utiliser des équipements IP standards qui vont démocratiser le SAN et les rendre plus simples à déployer et à administrer. La sécurité IPSec du paquet IP est applicable aussi bien aux applications SAN iSCSI que pour des interconnexions de site ou des accès distants.

L’intégration de services

Nous allons prendre l’exemple de l’intégration de services de type réseau et sécurité dans un seul appareil pour assurer à la fois la connectivité et la défense d’un site.

De plus en plus on voit apparaître sur le marché des CPE avec une architecture tout-en-un.

Exemples :

Un appareil de sécurité réseau multi-services : routeur, firewall conçu pour la défense d’un site intègrera des services réseau : interfaces LAN/WAN, routage, QoS et des services de protection:

firewall, VPN IPSec/SSL, IPS (anti-virus réseau), inspection de contenu d’applications.

Les architectures tout-en-un optimisent le nombre d’équipements et facilitent les interactions des fonctions regroupées dans un seul appareil, par exemple :

w une détection d’attaque dans un routeur va déclencher la fermeture de l’accès WAN qui a fait l’objet de l’attaque,

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

30/75

La sécurité à l’usage des PME et des TPE w l’appareil effectuera des corrélations d’évènements

La sécurité à l’usage des PME et des TPE

w l’appareil effectuera des corrélations d’évènements générés par les différents modules fonctionnels pour ne transmettre que l’information strictement nécessaire.

La virtualisation

La virtualisation consiste à fournir aux utilisateurs des ressources logiques qui sont construites via un niveau d’abstraction de virtualisation à partir de ressources ou de fractions de ressources physiques dédiées ou mutualisées.

Virtualiser s’applique à tout : des serveurs, des postes de travail, des processeurs, des entrées/sorties, des systèmes d’exploitation, des réseaux, du stockage, des firewalls, des middleware (ex SAP ACC et Oracle 10g), des infrastructures.

Prenons l’exemple de la virtualisation d’un réseau WAN par un VPN IPSec.

Un CPE (routeur VPN) sur les sites A et B d’une entreprise permet de construire un VPN (réseau entièrement logiciel) sécurisé IPSec en recouvrement sur une infrastructure physique de réseaux d’accès et d’interconnexion opérateurs. Ce VPN donne l’illusion aux deux sites interconnectés qu’ils sont reliés par un réseau local Le VPN se traduit par un tunnel sécurisé dont les extrémités se trouvent sur chaque CPE et qui traverse de bout en bout les réseaux de transport IP empruntés.

VPN VPN VPN Réseau de Réseau de Réseau de Réseau de collecte collecte collecte collecte
VPN
VPN
VPN
Réseau de
Réseau de
Réseau de
Réseau de
collecte
collecte
collecte
collecte
Backbone
Backbone
Backbone
Backbone
Backbone
Backbone
Site A
Site A
Site A
cpe
cpe
cpe
cpe
cpe
cpe
Site B
Site B
Site B
Opérateur X
Opérateur X
Opérateur X
Opérateur Y
Opérateur Y
Opérateur Y
internet
internet

cpe

cpe

Tunnel sécurisé

Tunnel sécurisé

cpe

cpe

Site A Site A
Site A
Site A
Site B Site B
Site B
Site B

Figure 2: Virtualisation de réseaux WAN

La virtualisation réseau par VPN IPSEC apporte comme avantages :

w

Un découplage complet des sites de l’entreprise vis à vis des réseaux IP physiques qui seront utilisés. Le SI devint ainsi complètement indépendant des réseaux de transport IP utilisés et des opérateurs de ces réseaux.

w

un VPN sécurisé va permettre de sécuriser de manière uniforme avec une seule technique de sécurité qui est la sécurité standard du paquet IP: IPSec les échanges sur tout réseau de transport IP : LAN, WAN, SAN.

Les nouvelles architectures d’intégration orientées service

Les nouvelles architectures d’intégration (ESB) orientées service (SOA) qui sont des collections de services permettent de développer de nouveaux services qui s’intègrent à l’existant. Ces architectures permettent d’intégrer facilement des processus, des interfaces de présentation, des interfaces avec des systèmes existants, des services applicatifs, et rendent aisées les évolutions grâce à des outils puissants comme les plates-formes et les outils J2EE ou .NET qui minimisent les développements techniques et permettent de se concentrer sur les développements fonctionnels.

L’usage de ces techniques facilitera le développement de systèmes d’administration et de suivi de la sécurité intégrant toutes les composantes de l’administration d’un SI y compris la sécurité.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

31/75

La sécurité à l’usage des PME et des TPE Si on revient sur l’exemple d’infrastructure

La sécurité à l’usage des PME et des TPE

Si on revient sur l’exemple d’infrastructure de surveillance, l’avantage d’une plate-forme J2EE ou .NET est d’apporter techniquement des composants et des services communs utilisés pour faciliter le développement du logiciel de surveillance du centre d’opérations.

Les services administrés

Un des problèmes de l’administration de la sécurité et de son suivi est : qui est derrière la console. La sécurité demande une supervision et une surveillance constantes et des experts pour remédier aux problèmes qui peuvent survenir. Disposer d’équipes d’administrateurs et d’experts représente un coût élevé pour une TPE ou une PME.

Une solution économique est le service administré qui mutualise pour plusieurs entreprises l’exploitation de leur sécurité.

Les avantages qu’apporte un service de sécurité administré à une entreprise sont les suivants :

w

fiabilité en terme de suivi de la sécurité opérationnel 24h/24, de mises à jour, d’expertise apportée par des spécialistes du domaine de la sécurité.

w

permet à l’entreprise de se concentrer sur son cœur de métier,

w

faibles coûts de fonctionnement, l’entreprise est totalement déchargée du souci d’administrer, superviser et surveiller la sécurité,

w

faibles coûts d’investissements : pas d’investissements en outils d’administration et même équipements de sécurité qui peuvent être loués avec une formule abonnement mensuel,

Un système d’administration et de suivi de la sécurité mutualisé géré par un prestataire de services de sécurité encore appelé «opérateur réseau » est composé de partitions, chacune affectée aux ressources administrées du SI d’une entreprise cliente.

Partitions Partitions Partitions Partitions Informations Informations Informations Informations Informations
Partitions
Partitions
Partitions
Partitions
Informations
Informations
Informations
Informations
Informations
Informations
Entreprise
Entreprise
Entreprise
Entreprise
Entreprise
Entreprise
Centre
Centre
Centre
Centre
A A
B B
C C
d’opérations
d’opérations
d’opérations
d’opérations
mutualisé
mutualisé
mutualisé
mutualisé
Système d’administration
Système d’administration
Système d’administration
Système d’administration
et de suivi mutualisé
et de suivi mutualisé
et de suivi mutualisé
et de suivi mutualisé
réseau
réseau
réseau
réseau
Ressources de
Ressources de
Ressources de
Ressources de
Ressources de
Ressources de
l’entreprise A
l’entreprise A
l’entreprise B
l’entreprise B
l’entreprise C
l’entreprise C

Figure 3: Système d'administration et de suivi mutualisés

3.9.8 La consolidation appliquée à la sécurité

La table suivante décrit une solution de sécurité réalisée après une démarche de consolidation.

Table 1: solutions avec consolidation

Services de sécurité

Exemples de solutions

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

32/75

La sécurité à l’usage des PME et des TPE Gestion des identifications/ authentifications - Utilisation

La sécurité à l’usage des PME et des TPE

Gestion des identifications/ authentifications

- Utilisation de certificats qui banalisent l’identification des utilisateurs et des équipements

- Unifier les opérations d’identification et d’authentification des utilisateurs : Single Sign On.

Gestion des accès

- Zonage réseau

- Annuaire centralisé pour gérer les droits et rôles des acteurs.

- Utilisation de cartes à puce

Protection des données

- Chiffrement VPN (IPSec/SSL) des données échangées sur les réseaux.

- Sauvegarde-archivage réseau.

- Chiffrement des données critiques des points d’extrémité (fichier, répertoire, disque).

Défense de site

- Protection périmètrique : utilisation de CPE multi-services à la frontière LAN/WAN qui protège le site: firewall, IDS, IPS, VPN, inspection du trafic applicatif

- contrôles d’admission réseau pour les accès des points d’extrémité au site.

Défense des points

- Accès sécurisé au poste de travail : identification/authentification ( exemple : utilisation de carte à puce cryptographique).

d’extrémité :

- Protection périmètrique: firewall, prévention d’intrusion, inspection de contenu : anti-virus, anti-spy -ware, anti-spam.

- Protection des données: chiffrement, sauvegardes.

- Protection du système : analyse comportementale.

Disponibilité

- Redondance pour les composants réseau, stockage et traitements.

- Actions sur le trafic et la QoS réalisée par CPE multi-services.

Administration

Centre d’opérations centralisé et intégré basé sur des politiques et une architecture orientée services.

Supervision

Surveillance

- Support des fonctions d’administration : Approvisionnements, configurations dynamiques, gestion des mises à jour.

Services de sécurité

- Supervision des machines, des systèmes, des applications, remise à l’état opérationnel après disfonctionnement

Processus de sécurité

- Surveillance :

Collecte des évènements générés par les CPEs, analyse de ces évènements et corrélations, génération d’alertes et construction de rapports.

- Services de sécurité

PKI, Stockage pour sauvegardes, annuaire,

- Processus de sécurité

Workflow intégrés au système d’administration centralisé et qui déroulent de façon automatisée sur événement ou action opérateur des tâches. Par exemple renouveler les certificats d’un appareil dont les certificats vont arriver à échéance.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

33/75

La sécurité à l’usage des PME et des TPE Détails de réalisation Consolidation de l’accès

La sécurité à l’usage des PME et des TPE

Détails de réalisation

Consolidation de l’accès

Utilisation de cartes à puces avec différents types de lecteurs possibles comme une clé USB pour centraliser les contrôles d’accès des utilisateurs au SI.

les contrôles d’accès des utilisateurs au SI. Figure 4: Consolidation de la sécurité d’accès

Figure 4: Consolidation de la sécurité d’accès

Consolidation de la sécurité de points d’extrémité

Une forme de consolidation est l’utilisation d’un agent de sécurité qui contrôle les logiciels de sécurité du poste pour par exemple autoriser le poste à se connecter au SI de l’entreprise.

autoriser le poste à se connecter au SI de l’entreprise. Figure 5: Consolidation administration de défense

Figure 5: Consolidation administration de défense de point d'extrémité

Consolidation de la Défense de site

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

34/75

La sécurité à l’usage des PME et des TPE Utilisation d’un appareil multi-services qui assure

La sécurité à l’usage des PME et des TPE

Utilisation d’un appareil multi-services qui assure les fonctions de défense de site :VPN ; firewall multi - niveaux, prévention d’intrusion (anti - vi rus réseau), inspection de code applicatif, QoS, gestion de trafic.

inspection de code applicatif, QoS, gestion de trafic. Figure 6: Consolidation de la Défense de site

Figure 6: Consolidation de la Défense de site

Consolidation de l’interconnexion sécurisée

L’utilisation d’ IPSec et de SSL permet de sécuriser les échanges sur les réseaux internes IP (LAN, SAN) et WAN à l’échelle de l'Internet et par tout type de réseau d’accès filaire ou sans fil, avec une sécurité robuste uniforme.

filaire ou sans fil, avec une sécurité robuste uniforme. Figure 7: Consolidation de l’interconnexion sécurisée

Figure 7: Consolidation de l’interconnexion sécurisée WAN

Consolidation de l’administration de la sécurité

Regroupement de services mutualisés:

w

administration : approvisionnement, configuration dynamique, mises à jour

w

supervision

w

surveillance

w

contrôles : audit de vulnérabilités,

w

PKI,

w

Annuaire,

w

Stockage pour sauvegarde,

w

Processus automatisés : gestion du cycle de vie de cartes à puce, de certificats, d’alertes, de reprise

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

35/75

La sécurité à l’usage des PME et des TPE Une console déportée permet d’opérer ces

La sécurité à l’usage des PME et des TPE

Une console déportée permet d’opérer ces services sans complexité. Cette console peut être déléguée à un prestataire de l’entreprise. Dans ce cas, l’entreprise peut se limiter à disposer d’une console de supervision.

peut se limiter à disposer d’une console de supervision. Figure 8: Consolidation de l’administration de la

Figure 8: Consolidation de l’administration de la sécurité

3.9.9 Exemple d’une démarche de sécurité orientée service pour une TPE/PME

Nous allons nous placer dans le cas où l’entreprise confie sa sécurité à un opérateur de sécurité prestataire de solutions de sécurité clé en main y compris l’administration et le suivi.

Table 2 : les étapes

Etape 1:

Cette étape fait l’objet d’un état des lieux du SI de l’entreprise. Elle consiste à inventorier :

Audit du SI

- l’organisation : les sites de l’entreprise (siège, agences, communication, la typologie et le nombre d’utilisateurs.

),

les types de

- Les accès réseaux : la bande passante, les besoins d’usage, pour les utilisateurs internes et externes.

- Les équipements de traitement : serveurs, stations, unités de stockage,

- Les besoins spécifiques au métier de l’entreprise.

Etape 2:

Elaboration de la politique de sécurité qui formalise le niveau du service de sécurité attendu pour le SI.

Politique de

sécurité

 

Etape 3:

Identification des processus, des services et des fonctions/mécanismes de sécurité en adéquation avec le niveau de sécurité requis.

Choix des

techniques

Quelques exemples:

Services de sécurité

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

36/75

La sécurité à l’usage des PME et des TPE   - identification/authentification - protection des

La sécurité à l’usage des PME et des TPE

 

- identification/authentification

- protection des accès : gestion des rôles, des droits, zonage,

- protection des données : sauvegarde, chiffrement, sécurité des échanges réseau

- défense des sites et des points d’extrémité : firewall, IPS (anti-virus),

inspection des données des applications, de vulnérabilités

,

analyse comportementale, tests

- fonctionnement (disponibilité, performances,

)

- administration

- supervision

- surveillance

Processus de sécurité

- gestion du cycle de vie des mots de passe, des cartes à puce, des certificats,

- gestion des utilisateurs, administrateurs et de leurs droits,

- gestion des remises à l’état normal du système après un incident (traitements liés aux alertes (exemple réactivation après désactivation, remise en service d’un composant après défaillance, reprise d’activité après un désastre).

- gestion du cycle de vie de l’information.

Etape 4 :

- Etude des solutions de sécurité pour les domaines à couvrir,

Consolidation et

- Choix des matériels et des logiciels de sécurité,

 

implémentation

- Construction de l’infrastructure.

Etape 5 :

- Enregistrement des politiques dans le système d’administration,

Mise en service

- Installation et approvisionnement des CPEs,

 

- Activation de la console de service.

Etape 6 :

- Opérations réalisées à partir d’une console de service,

Opérations,

- Maintenance des équipements,

maintenance et

assistance

- Assistance en ligne dans les plages horaires et journalières prévues dans le contrat de service.

3.9.10 Etude de cas

Cas d’une PME avec les caractéristiques suivantes:

w

Un site central : des postes fixes et connectés en WI-FI, des serveurs, un SAN iSCSI avec une unité de stockage,

w

Deux sites secondaires interconnectés au siège de l’entreprise

w

Des commerciaux qui se connectent au siège de l’entreprise lors de leurs déplacements avec des PC portables.

w

Des partenaires et des clients qui se connectent à partir de postes non maîtrisés

Table 3 : solutions

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

37/75

La sécurité à l’usage des PME et des TPE Réseau interne site central Une infrastructure

La sécurité à l’usage des PME et des TPE

Réseau interne site central

Une infrastructure IP LAN, SAN

Sécurité IPSec sur SAN

VPN IPSec sur LAN WI-FI

Réseaux externes

VPN IPSec pour interconnexion de sites et accès distants

VPN SSL pour accès distants à partir de postes non maîtrisés.

Défense et disponibilité du site central

Une passerelle de sécurité multi-services sur le site central qui centralise les fonctions de défense du site central en interne et en externe, qui est un point de terminaison des tunnels VPN et qui gère la qualité de service du trafic des applications.

On pourra également envisager une redondance des équipements et des accès pour un taux de disponibilité élevé en cas de défaillance.

Défense des sites secondaires

Un routeur VPN multi-services sur chaque site secondaire qui assure les fonctions de défense du site en interne et en externe et qui est un point de terminaison des tunnels VPN

Défense des points d’extrémité

Logiciels de sécurité gérés par un agent qui les contrôle et qui autorise si les contrôles sont bon les connexions réseau du point d’extrémité.

Centre d’opérations des services

Centre d’opérations externalisé qui télé-administre, supervise, surveille et rend des services de sécurité : PKI , annuaire, processus automatisés de sécurité, audits de vulnérabilité, assistance.

Une console de service sur le site central permet au client d’opérer les services sans complexité. Ces opérations peuvent être déléguées à un prestataire

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

38/75

La sécurité à l’usage des PME et des TPE Figure 9 : Exemple de configuration

La sécurité à l’usage des PME et des TPE

La sécurité à l’usage des PME et des TPE Figure 9 : Exemple de configuration 3.9.11

Figure 9 : Exemple de configuration

3.9.11

Conclusion

Une infrastructure de services de sécurité mise en place après une démarche de consolidation est une réponse à une recherche de solution de sécurité globale. En faisant appel à des solutions complètes comprenant des services de sécurité administrés rendus par un centre d’opérations externalisé, les TPE et PME disposeront de solutions de sécurité robustes à l’état de l’art, les libérant des choix des techniques à utiliser et des tâches liées à l’expertise, à l’administration et au suivi de la sécurité.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

39/75

La sécurité à l’usage des PME et des TPE 4 QUELQUES APPLICATIONS DEVANT ETRE SECURISEES

La sécurité à l’usage des PME et des TPE

4 QUELQUES APPLICATIONS DEVANT ETRE SECURISEES

4.1 L’ENTREPRISE SANS FIL

Auteur : Michèle Germain (ComXper) comxper@free.fr

L’entreprise sans fil… Et si on enlevait les fils ?

Ce qui suit va un peu au-delà de la stricte sécurité et aborde « tout ce qu’il faut savoir et faire pour que ça marche », ce qui est tout de même une sorte de sécurité.

ß De bonnes raisons…

Ils servent à véhiculer les signaux électriques qui transportent voix et données jusqu’aux postes téléphoniques et informatiques… mais leur installation coûte cher et, au fond, sont-ils vraiment nécessaires ?

De plus en plus, on parle de « sans-fil », de « Wi-Fi », et la petite entreprise qui se crée et qui peut être amenée à plus ou moins court terme à quitter ses locaux pour de plus vastes, peut légitimement se poser la question de l’opportunité d’investir dans un câblage.

Indépendamment de l’aspect coût, l’installation dans un immeuble classé peut être soumise à des règles contraignantes sur le câblage et cela donne un intérêt supplémentaire au sans-fil.

ß Pour qui ?

Nous avons cité l’attrait du sans fil pour la TPE, mais bien sûr le sans-fil s’adresse à tout type d’entreprise. A partir d’une certaine importance, l’entreprise pourra miser sur des solutions mixtes en utilisant le sans fil en complément d’un réseau filaire classique pour ouvrir un service de mobilité interne ou encore pour desservir des zones qui ne peuvent être cablées, par exemple en extérieur.

ß Quels fils ?

Ce peut être les fils du téléphone (l’autocommutateur – ou PBX) ainsi que ceux du réseau informatique (le routeur local).

Le raccordement au réseau public est impérativement filaire, en général via une liaison ADSL qui permet de véhiculer à la fois voix et données et qui après filtrage se ramifie en :

ß une ligne téléphonique vers un poste téléphonique ou vers l’autocommutateur

ß une ligne informatique vers le routeur ADSL.

Une ligne ADSL est suffisante pour couvrir les besoins informatiques d’une TPE, mais pas ses besoins téléphoniques, puisqu‘elle ne peut supporter qu’une seule communication téléphonique à la fois. Aussi, on pourra la réserver au fax et prendre quelques lignes téléphoniques simples qui se raccorderont à l’autocommutateur.

C’est en aval de l’autocommutateur et en aval du routeur que peut commencer le monde du sans-fil.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

40/75

La sécurité à l’usage des PME et des TPE Réseau Public Ligne ADSL Filtre ADSL

La sécurité à l’usage des PME et des TPE

Réseau Public
Réseau Public

Ligne ADSL

Filtre ADSL

des PME et des TPE Réseau Public Ligne ADSL Filtre ADSL F A X PBX Lignes
des PME et des TPE Réseau Public Ligne ADSL Filtre ADSL F A X PBX Lignes

FAX

PME et des TPE Réseau Public Ligne ADSL Filtre ADSL F A X PBX Lignes téléphoniques

PBX

Lignes téléphoniques

(RNIS ou analogiques)

Routeur

ADSL

Réseau Réseau téléphonique informatique local local Réseaux sans-fil
Réseau
Réseau
téléphonique
informatique
local
local
Réseaux sans-fil

ß Les risques

Les inconvénients connus de la radio sont d’une part son aptitude à franchir les limites géographiques de l’entreprise et d’autre part sa sensibilité aux perturbations externes.

Contrairement à un réseau filaire dont la distribution est strictement limitée par l’emplacement des prises et qui offre un service de qualité constante, la radio diffuse, traversant sans vergogne les limites de l’entreprise, et est soumise à des aléas de transmission liés à la topologie des lieux, à l’environnement, même parfois… à la météo.

Donc, en plus des risques inhérents aux réseaux filaires, l’usager sans fil va être confronté à des soucis de confidentialité, d’intégrité, de non intrusion et de permanence de service apportés par la radio.

La suite de ce chapitre montrera au lecteur qu’il ne s’agit nullement d’un scénario catastrophe et que bien utilisée, la radio apporte à l’utilisateur un niveau de sécurité acceptable, conforme à ses attentes.

ß L’informatique sans fil

Dans le domaine tertiaire, le seul intérêt est l’absence du câblage. Par contre dans d’autres domaines, le réseau sans-fil est un facteur majeur de l’amélioration de l’efficacité du travail.

On peut citer un certain nombre d’exemples :

ß dans un entrepôt, inventaire avec PDA en relation avec le serveur central

ß dans un garage, téléchargement des documents de maintenance, consultation du stock de pièces, en cours de travail

ß La téléphonie sans fil

Outre l’absence de câblage, l’intérêt est l’appareil sans -fil par lui-même, laissant l’usager libre de ses mouvements.

Une solution consiste à utiliser un service de téléphonie sans fil sur un autocommutateur. Parmi les technologies proposées, nous retiendrons :

ß le DECT

ß le WLAN, basé sur des techniques Wi-Fi ou autres.

Chacune a ses particularités et répond de manière différente aux impératifs de la téléphonie qui sont :

ß la confidentialité des communications

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

41/75

La sécurité à l’usage des PME et des TPE ß la qualité des communications ß

La sécurité à l’usage des PME et des TPE

ß la qualité des communications

ß la permanence de service

ß la gestion de la mobilité.

4.1.1

L’informatique sans fil « Wi-Fi »

 

4.1.1.1

Définition

 

Point n’est besoin de présenter le Wi-Fi… Grâce à lui on peut maintenant trouver des accès sans fil à l’Internet quasiment n’importe où, y compris au café du coin. La plupart des ordinateurs récents sont équipés de base d’un circuit Wi-Fi.

Le Wi-Fi a fait son entrée chez les particuliers, alors, pourquoi pas aussi dans la PME ?

 

Wi-Fi est le nom usuel de la norme IEEE 802.11 qui se décline en différentes variantes. La plus récente et maintenant la plus utilisée est 802.11g qui fonctionne dans la bande de fréquences 2,4 GHz. Des compléments à la norme 802.11 apportent des services additionnels au service de base, tel le 802.11i pour la sécurité.

Le 802.11g peut délivrer un débit efficace de l’ordre de 20 Mbits/s 2 , donc de toutes façons supérieur à ce que pourra délivrer la liaison ADSL.

ß

Topologie

Il existe deux topologies de réseaux

 

ß le réseau avec infrastructure

 

ß le réseau « ad-hoc »

Le premier, comme son nom l’indique, utilise des points d’accès radio (autrement dit des bornes) répartis sur une infrastructure filaire.

Le second est totalement dénué d’infrastructure, chaque terminal pouvant relayer les communications vers les autres terminaux du réseau.

Bien

que

tentante,

la structure

ad-hoc

présente

dans

son

état

actuel

un

certain

nombre

d’inconvénients :

 

ß d’un

L’extinction

terminal

risque

de

compromettre

l’intégrité

du

réseau

et

d’isoler

des

 

terminaux

 
 

ß Un terminal qui ne trafique pas est tout de même sollicité par des communications en transit, et s’il est alimenté sur batteries, trouver celles-ci déchargées au moment d’établir une communication pour son propre compte

ß Le réseau ad hoc est particulièrement vulnérable aux attaques en déni de service qui visent à saturer les tables de routage et rendre le réseau inefficace. De plus, le principe ad hoc qui consiste à accueillir en tant que nœud du réseau tout terminal qui se trouve à portée, rend la sécurisation particulièrement délicate.

4.1.1.2

Disponibilité du service

 

ß Portée

Un point d’accès 802.11g couvre typiquement 15 à 70 mètres selon les conditions de propagation. En fait les informations de couverture données par les constructeurs et par la presse doivent être prises avec précautions. Un facteur essentiel est l’environnement, la portée étant directement impactée par la topologie des lieux (espace dégagé ou non) et sa nature (présence de murs de béton, armatures et mobilier métallique). Il faut savoir aussi que le débit décroît rapidement avec la distance ; la liaison radio peut être maintenue sur une portée plus longue mais avec un service dégradé.

2 On annonce parfois un débit de 54 Mbits/s pour 802.11g. Il s’agit du débit brut de la liaison radio, donc avec les messages et en-têtes propres au protocole. Ceux-ci supprimés, il reste en principe environ 22 Mbits/s pour les données utiles (débit efficace).

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

42/75

La sécurité à l’usage des PME et des TPE ß Qualité de transmission Le 802.11

La sécurité à l’usage des PME et des TPE

ß Qualité de transmission

Le 802.11 est très sensible aux perturbations radio. De plus il opère dans une bande de fréquence dite ISM (Industry Scientific and Medical) qui, comme son nom l’indique a été prévue pour supporter un peu de tout, mais pas spécialement des réseaux de transmission de données. Il faut donc s’attendre à des perturbations venant d’objets aussi divers que des télécommandes et des fours à micro-ondes. Une sage précaution consiste à ne pas mettre les points d’accès radio trop près de ces équipements.

4.1.1.3

Sécurité

 

On a dit beaucoup de choses sur la sécurité, ou plutôt sur l’insécurité, du Wi-Fi. Sa mauvaise réputation est en fait venue d’utilisateurs inconséquents qui n’ont pas estimé le problème à sa juste valeur, d’autant moins aidés par le fait que le mécanisme standard mis à disposition dans les premières implémentations (le WEP) favorisait la facilité d’installation plutôt que la sécurité et était largement insuffisant.

Des progrès ont été faits depuis cette époque de pionniers malheureux, tout d’abord grâce à la sensibilisation des utilisateurs à la problématique de la sécurité, et ensuite par l’avènement du standard 802.11i qui a enfin doté le Wi-Fi de mécanismes d’authentification et de chiffrement sérieux.

Bien évidemment, les techniques proposées sur les réseaux filaires (VPN, firewall, etc.) s’appliquent aux réseaux sans fil. Il sera largement fait état dans cet ouvrage des mille et une façons de sécuriser son réseau avec ou sans fil et le lecteur pourra également se reporter à l’ouvrage «La Sécurité à l’usage des Décideurs »(Réf. 1), dans la même collection

4.1.1.4

Recommandations d’installation

Il est fortement recommandé d’utiliser un réseau d’infrastructure avec un ou plusieurs points d’accès radio de mettre en œuvre des mécanismes de sécurité efficaces.

A

l’échelle d’une TPE, un routeur Wi-Fi raccordé à une ligne ADSL et se comportant comme un point

d’accès radio peut être suffisant. Ceci réduit le câblage d’infrastructure à sa plus simple expression. La plupart des routeurs du commerce offrent une ou plusieurs interfaces LAN filaires… au cas où…

et

intègrent un firewall.

La position des points d’accès est choisie en fonction des zones à couvrir en intérieur et en extérieur, pourvu que ceci reste dans le domaine privé, et en s’écartant des brouilleurs (portes télécommandées, fours à micro-ondes…).

Il

est recommandé de déclarer sur le routeur les adresses MAC des terminaux de l’entreprise afin

d’interdire l’inscription de terminaux étrangers. La configuration des terminaux doit aussi interdire le mode ad-hoc afin de bloquer des attaques par rebond.

Il

convient également d’être vigilant lors du retour dans l’entreprise de postes nomades qui ont pu

être infectés lors de leurs déplacements et il est recommandé d’apporter un soin particulier à leur sécurisation.

Enfin, le label Wi-Fi garantit l’interopérabilité de produits de constructeurs différents pour un même niveau de la norme (attention notamment à des produits 802.11a qui sont aussi Wi-Fi mais qui fonctionnent dans une autre bande de fréquence et sont parfaitement incompatibles avec les 802.11b et g).

4.1.2

La téléphonie sans fil DECT

4.1.2.1

Définition

Le DECT est une norme européenne de téléphonie sans fil, largement utilisée pour des services de téléphonie sans fil en entreprise et en résidentiel. C’est la norme utilisée par la plupart des téléphones sans fil grand public. Il s’agit d’une technologie mature qui a maintenant fait ses preuves.

Le DECT est conçu pour la phonie et bien que le standard intègre des services de transmission de données (fax, Internet, e-mail), les services offerts ne vont guère au-delà du SMS.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

43/75

La sécurité à l’usage des PME et des TPE 4.1.2.2 Disponibilité du service ß Portée

La sécurité à l’usage des PME et des TPE

4.1.2.2 Disponibilité du service

ß Portée

Une borne DECT peut couvrir 50 à 300 mètres selon les conditions de propagation et, selon les offres des constructeurs, supporte typiquement 4 à 12 voies radio, donc autant de communications simultanées. Une borne unique peut être suffisante pour couvrir environ une dizaine de bureaux, mais pour des raisons de permanence de service, il est conseillé d’en mettre au moins deux dont les couvertures pourront ou non se superposer.

ß Qualité de la phonie

Au point de vue immunité radio, le DECT utilise des fréquences qui lui sont propres (bande 1,9 GHz) et n’est donc pas brouillé par d’autres équipements radio électriques qui utiliseraient la même bande de fréquences comme le Wi-Fi.

Bien que le DECT possède une très bonne immunité aux interférences, des perturbations sont toujours possibles. Aussi, le DECT intègre des processus dynamiques d’allocation de canal libre et non brouillé, ce choix étant modifiable en cours de communication pour garantir la meilleure qualité possible.

ß Partage du spectre radio

La bande passante est divisée en 120 canaux radio qui ouvrent une capacité de 120 communications simultanées (tous réseaux et toutes bornes en un lieu donné, sachant que de toutes façons le trafic ouvert à une entreprise en un lieu donné est limité à la capacité radio des bornes qui lui appartiennent et qui couvrent ce lieu). Une communication occupe un plein canal à elle seule et pendant toute sa durée (on parle de « mode circuit »). Une fois la limite de 120 canaux atteinte, le réseau n’accepte plus de communication supplémentaire, ce qui garantit le maintien de la qualité des communications déjà établies.

ß Permanence de service

La capacité de 120 canaux est par contre partagée dynamiquement entre les différentes installations en présence. Il n’est donc pas exclu, bien que rare vu la capacité disponible, qu’une entreprise sature temporairement le réseau au détriment des autres. Toutefois, ceci ne pouvant se produire que dans les zones où les réseaux se recouvrent, le déplacement d’une borne suffit généralement à éliminer cet inconvénient.

4.1.2.3 Sécurité

Il n’est pas impossible, surtout dans un contexte d’immeubles de bureaux, que des réseaux DECT se chevauchent. Pour garantir l’indépendance et la sécurité des flux de communication, le standard DECT intègre de manière native des mécanismes d’enregistrement, d’authentification mutuelle et de chiffrement qui offrent un très bon niveau de protection.

ß Enregistrement des terminaux

Un poste DECT ne peut trafiquer sur un réseau que s’il a été préalablement enregistré 3 sur ce réseau. Ceci est une opération d’exploitation qui se déroule sur une borne spécialement déverrouillée le temps de l’enregistrement et au cours de laquelle le terminal et la borne échangent les éléments secrets issus de l’identifiant du réseau et du numéro de série du terminal qui en permettront l’authentification.

Si deux installations d’entreprises différentes sont proches, le mécanisme d’authentification garantit que les postes s’inscriront uniquement sur le réseau qui leur est autorisé. Il n’est donc pas possible à une entreprise d’héberger à son insu des postes d’une installation extérieure à la sienne.

Un terminal perdu ou volé peut être « désenregistré » de l’installation. Il ne pourra plus s’y inscrire.

3 Attention à ne pas confondre « enregistrement » qui associe un terminal à un réseau et « inscription » qui associe un terminal à une borne radio.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

44/75

La sécurité à l’usage des PME et des TPE ß Authentification L’authentification du terminal est

La sécurité à l’usage des PME et des TPE

ß Authentification

L’authentification du terminal est demandée lors de chaque accès au réseau (inscription, communication). Elle utilise la clé calculée pendant la phase d’enregistrement (cf. ci-dessus). L’identité du terminal est elle-même chiffrée, afin de garantir une meilleure confidentialité. La clé utilisée pour chiffrer la communication est calculée au cours de l’authentification.

ß Confidentialité

Les communications sont chiffrées au moyen d’une clé calculée lors de l’authentification et donc, recalculée et changée lors de toute nouvelle communication ou inscription.

Les différentes clés utilisées (authentification, trafic) sont calculées simultanément par le réseau et les terminaux, à partir d’un algorithme commun et réputé inviolable. A aucun moment, une clé n’est échangée sur l’interface air.

ß Intégrité

Les bornes radio sont des constituants du PBX et gérées par l’exploitant technique du PBX. La présence de bornes non désirées est de ce fait impossible.

4.1.2.4 Services

ß Services téléphoniques

Le standard DECT définit les services téléphoniques de base. Le terme DECT/GAP se réfère à un sous-ensemble du protocole qui définit le minimum indispensable pour garantir l’interopérabilité d’équipements de constructeurs différents et intègre des procédures d’échappement vers des services supplémentaires (keypad/display) propriétaires.

ß Mobilité

Un usager sans fil étant susceptible de se déplacer, le DECT supporte de manière native les fonctions de hand-over et de roaming.

Le roaming permet à l’usager de disposer du même niveau de service en tout point de son réseau (à ne pas confondre avec la fonction de roaming international du GSM).

Le hand-over permet de maintenir une communication en cours, soit en changeant de borne radio au cours des déplacements de l’usager, soit en changeant de canal radio si celui qui est couramment utilisé est soumis à des perturbations radioélectriques.

Un terminal peut (volontairement !) être enregistré sur plusieurs installations. Par exemple, si l’entreprise est implantée sur différents sites, l’usager pourra utiliser son téléphone partout.

4.1.2.5 Recommandations d’installation

Les bornes DECT se raccordent au PABX par des fils. Là il n’est pas possible de faire autrement, mais pour une entreprise de faible superficie, le nombre de bornes étant inférieur au nombre de postes d’usagers, le gain sur le câblage reste conséquent.

Il convient de ne pas mettre les bornes n’importe où et de choisir des endroits qui donneront la meilleure couverture radio. Il existe à cet effet des outils d’aide à l’installation qui permettent de disposer les bornes de manière optimale.

Même s’il n’y a pas de risque au point de vue confidentialité, il est préférable de positionner les bornes afin de minimiser les émissions radioélectriques hors de l’entreprise : pas besoin de partager la capacité de trafic avec les voisins. D’’autre part il ne faut pas perdre de vue qu’il est interdit d’émettre en DECT dans le domaine public, donc dans la rue (par contre, il est autorisé de couvrir les parties extérieures du domaine privé, par exemple les parkings).

Les bornes et terminaux peuvent être de constructeurs différents, pourvu qu’ils satisfassent la norme DECT/GAP, ce qui est en général le cas. L’interopérabilité est garantie au niveau des fonctions prévues par cette norme, à l’exclusion bien sûr de fonctions propriétaires développées au-dessus de cette norme.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

45/75

La sécurité à l’usage des PME et des TPE Enfin, par sécurité, il est recommandé

La sécurité à l’usage des PME et des TPE

Enfin, par sécurité, il est recommandé de garder une ligne filaire sur l’autocommutateur sur laquelle il sera possible de brancher un poste téléphonique filaire en cas d’indisponibilité du réseau sans fil. Cette prise pourra raccorder le fax en temps normal.

4.1.3

La téléphonie sans fil Wi-Fi (VoWiFi)

4.1.3.1

Définition

La VoWiFi s’adresse essentiellement aux entreprises qui ont fait le choix du réseau informatique sans fil et qui désirent fédérer voix et données sur le même réseau.

Bien sûr la phonie numérisée n’est guère qu’une suite de 1 et de 0, mais transporter la voix sur IP ne se fait pas tout à fait comme transporter de la donnée :

 

ß Si des paquets de données arrivent dans le désordre ou avec plus ou moins de retard, ce n’est pas grave : l’extrémité réceptrice les remettra dans l’ordre et on n’aura que perdu un peu de temps sur la transmission. Par contre il est impératif de ne rien perdre en cours de route.

ß Pour la voix, c’est différent. La perte de paquets n’a d’autre conséquence que de dégrader la phonie, mais à moins d’en perdre vraiment beaucoup, le message délivré est audible et compréhensible. Par contre, le temps de transmission est particulièrement critique. Une communication téléphonique est interactive et un temps d’attente excessif la rend, dans un premier temps énervante, dans un deuxième temps inexploitable. Le délai maximum supportable est de 400 ms, sachant qu’au-delà de 120 ms, la communication cesse d’être « confortable ».

 

Donc, le grand mot est lâché, quand il s’agit de transmettre de la phonie – ou de la vidéo – la contrainte n° 1 est la QoS (qualité de service).

4.1.3.2

Disponibilité du service

ß

QoS

A l’heure actuelle, le standard 802.11e qui définit la QoS sur Wi-Fi est toujours à l’étude à l’IEEE, mais nombre de constructeurs proposent d’ores et déjà des solutions basées sur des protocoles propriétaires ou des drafts du 802.11e.

On peut charger un réseau de transmission de données : le débit sera considérablement ralenti, mais tout finira par passer. Ceci n’est pas acceptable pour la phonie.

Le principe de la QoS repose sur une priorisation des flux et une réservation de la bande passante nécessaire aux transactions temps réel de phonie. Lorsque le trafic entrant devient trop important, le réseau met en œuvre des mécanismes de contrôle d’accès (CAC)

ß

Portée et immunité radio

Ce qui a été dit au sujet des réseaux informatiques au point de vue portée et transmission radio s’applique à la voix sur Wi-Fi.

4.1.3.3

Sécurité

Bien sûr, tous les moyens de sécurisation des réseaux Wi-Fi sont applicables, mais ils ont l’inconvénient d’ajouter du délai, ce qui, on l’a vu, se traduit par une gêne au niveau de l’audition. Constructeurs et organismes de normalisation contribuent actuellement à optimiser la sécurisation de ce point de vue.

Le protocole 802.11i qui, on l’a vu, introduit des mécanismes plus puissants basés eux -mêmes sur des processeurs plus puissants réduisant le délai de transmission, est bien adapté à la voix sur Wi- Fi.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

46/75

La sécurité à l’usage des PME et des TPE 4.1.3.4 Services ß Services téléphoniques Comme

La sécurité à l’usage des PME et des TPE

4.1.3.4

Services

ß

Services téléphoniques

Comme en voix sur IP (VoIP), la voix sur Wi-Fi (VoWiFi) est traitée par un iPBX qui assure les services téléphoniques. Par conséquent, les services offerts par une installation Wi-Fi n’ont pas de raison d’être différents de ceux d’une installation filaire de téléphonie sur IP.

ß

Mobilité

Une autre contrainte est la gestion correcte de la mobilité, notamment du hand-over. Le standard 802.11 à l’origine conçu pour de la donnée n’intègre pas de base le traitement de la mobilité propre à la phonie.

En attendant un complément 802.11k toujours à l’étude, les constructeurs ont de nouveau développé des protocoles propriétaires de hand-over. Malgré tout, ces hand-over s’exécutent souvent de manière perceptible par les usagers de la communication (contrairement au hand-over du DECT qui est lui parfaitement inaudible).

4.1.3.5

Recommandations d’installation

Tout ce qui a été dit pour le réseau informatique peut être répété ici, à une petite différence près qui concerne l’interopérabilité.

On l’a vu, beaucoup de mécanismes, dont le hand-over et la QoS sont actuellement basés sur des protocoles propriétaires dont l’interopérabilité n’est nullement garantie. Il est donc recommandé de s’assurer préalablement de la compatibilité des équipements choisis.

4.1.4

Autres

4.1.4.1

Le GSM

 

Une solution triviale consiste à faire abstraction du PBX et d’utiliser le GSM. Outre le coût d’exploitation qui peut rapidement devenir prohibitif, cette solution n’offre que des services téléphoniques basiques. Elle est loin du niveau des services habituels en téléphonie d’entreprise.

Le GSM peut néanmoins suffire pour couvrir des besoins élémentaires et un faible trafic, ou encore les besoins d’une entreprise dont les collaborateurs sont la plupart du temps à l’extérieur.

4.1.4.2

Bluetooth

Bluetooth n’est pas seulement utilisé pour raccorder des oreillettes et des souris sans fil. Le standard prévoit plusieurs puissances d’émission, dont une puissance de 100 mW qui permet de couvrir des distances de l’ordre de 100 mètres.

Bluetooth est bien adapté au transport de la voix, dans le sens où il partage le canal radio selon les applications :

ß Les communications de phonie reçoivent pour toute leur durée un sous-canal utilisé en mode « circuit » avec une bande passante constante assurée

ß Les communications de données utilisent ce qui reste du canal en mode paquet.

Des implémentations intéressantes de PBX sans fil en Bluetooth ont déjà été réalisées.

La sécurité est généralement basée sur des mécanismes d’enregistrement similaires à ceux du DECT. De son côté, le standard Bluetooth intègre des mécanismes de chiffrement et d’authentification d’un bon niveau de sécurité et présente par ailleurs une bonne immunité aux perturbations radio. Il faut néanmoins savoir que, surtout à ce niveau de puissance, Bluetooth présente des risques d’interférence avec le Wi-Fi, par conséquent la cohabitation n’est pas recommandée.

Compte tenu des limitations du standard, notamment la limite de deux communications simultanées sur un même point d’accès, le PBX Bluetooth ne peut s’adresser qu’à de très petites entreprises.

16 août 2005

copyright etna France – Voir en dernière page pour les droits de reproduction

47/75

La sécurité à l’usage des PME et des TPE 4.1.5 Et pour conclure… Les 8

La sécurité à l’usage des PME et des TPE

4.1.5

Et pour conclure…

Les 8 commandements :

ß Ne pas sous-estimer la problématique sécurité quand on aborde le sans-fil

ß Pour du sans-fil limité à la voix, adopter le DECT

ß Privilégier la VoWi-Fi conjointement au WLAN

ß Disposer les bornes ou points d’accès de façon à avoir une couverture connexe des lieux

ß Disposer les bornes et points d’accès de façon à limiter les émissions en dehors de l’enceinte de l’entreprise, et particulièrement sur le domaine public