Introduction la scurit informatique

Avec le dveloppement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur systme d'information leurs partenaires ou leurs fournisseurs, il est donc essentiel de connatre les ressources de l'entreprise protger et de matriser le contrle d'accs et les droits des utilisateurs du systme d'information. Il en va de mme lors de l'ouverture de l'accs de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant permettre aux personnels de se connecter au systme d'information partir de n'importe quel endroit, les personnels sont amens transporter une partie du systme d'information hors de l'infrastructure scuris de l'entreprise.

Introduction la scurit
Le risque en terme de scurit est gnralement caractris par l'quation suivante :

La menace (en anglais threat ) reprsente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnrabilit (en anglais vulnerability , appele parfois faille ou brche) reprsente le niveau d'exposition face la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prvention de la menace. Les contre-mesures mettre en oeuvre ne sont pas uniquement des solutions techniques mais galement des mesures de formation et de sensibilisation l'intention des utilisateurs, ainsi qu'un ensemble de rgles clairement dfinies. Afin de pouvoir scuriser un systme, il est ncessaire d'identifier les menaces potentielles, et donc de connatre et de prvoir la faon de procder de l'ennemi. Le but de ce dossier est ainsi de donner un aperu des motivations ventuelles des pirates, de catgoriser ces derniers, et enfin de donner une ide de leur faon de procder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions.

Objectifs de la scurit informatique

Le systme d'information est gnralement dfini par l'ensemble des donnes et des ressources matrielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le systme d'information reprsente un patrimoine essentiel de l'entreprise, qu'il convient de protger. La scurit informatique, d'une manire gnrale, consiste assurer que les ressources matrielles ou logicielles d'une organisation sont uniquement utilises dans le cadre prvu. La scurit informatique vise gnralement cinq principaux objectifs :

L'intgrit, c'est--dire garantir que les donnes sont bien celles que l'on croit tre ; La confidentialit, consistant assurer que seules les personnes autorises aient accs aux ressources changes ; La disponibilit, permettant de maintenir le bon fonctionnement du systme d'information ; La non rpudiation, permettant de garantir qu'une transaction ne peut tre nie ; L'authentification, consistant assurer que seules les personnes autorises aient accs aux ressources.

La confidentialit
La confidentialit consiste rendre l'information inintelligible d'autres personnes que les seuls acteurs de la transaction.

L'intgrit
Vrifier l'intgrit des donnes consiste dterminer si les donnes n'ont pas t altres durant la communication (de manire fortuite ou intentionnelle).

La disponibilit
L'objectif de la disponibilit est de garantir l'accs un service ou des ressources.

La non-rpudiation
La non-rpudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction.

L'authentification
L'authentification consiste assurer l'identit d'un utilisateur, c'est--dire de garantir chacun des correspondants que son partenaire est bien celui qu'il croit tre. Un contrle d'accs peut permettre (par exemple par le moyen d'un mot de passe qui devra tre crypt) l'accs des ressources uniquement aux personnes autorises.

Ncessit d'une approche globale

La scurit d'un systme informatique fait souvent l'objet de mtaphores. En effet, on la compare rgulirement une chane en expliquant que le niveau de scurit d'un systme est caractris par le niveau de scurit du maillon le plus faible. Ainsi, une porte blinde est inutile dans un btiment si les fentres sont ouvertes sur la rue. Cela signifie que la scurit doit tre aborde dans un contexte global et notamment prendre en compte les aspects suivants :

La sensibilisation des utilisateurs aux problmes de scurit

La scurit logique, c'est--dire la scurit au niveau des donnes, notamment les donnes de l'entreprise, les applications ou encore les systmes d'exploitation. La scurit des tlcommunications : technologies rseau, serveurs de l'entreprise, rseaux d'accs, etc. La scurit physique, soit la scurit au niveau des infrastructures matrielles : salles scurises, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc.

Mise en place d'une politique de scurit

La scurit des systmes informatiques se cantonne gnralement garantir les droits d'accs aux donnes et ressources d'un systme en mettant en place des mcanismes d'authentification et de contrle permettant d'assurer que les utilisateurs des dites ressources possdent uniquement les droits qui leur ont t octroys. Les mcanismes de scurit mis en place peuvent nanmoins provoquer une gne au niveau des utilisateurs et les consignes et rgles deviennent de plus en plus compliques au fur et mesure que le rseau s'tend. Ainsi, la scurit informatique doit tre tudie de telle manire ne pas empcher les utilisateurs de dvelopper les usages qui leur sont ncessaires, et de faire en sorte qu'ils puissent utiliser le systme d'information en toute confiance. C'est la raison pour laquelle il est ncessaire de dfinir dans un premier temps une politique de scurit, dont la mise en oeuvre se fait selon les quatre tapes suivantes :

Identifier les besoins en terme de scurit, les risques informatiques pesant sur l'entreprise et leurs ventuelles consquences ; Elaborer des rgles et des procdures mettre en oeuvre dans les diffrents services de l'organisation pour les risques identifis ; Surveiller et dtecter les vulnrabilits du systme d'information et se tenir inform des failles sur les applications et matriels utiliss ; Dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une menace ;

La politique de scurit est donc l'ensemble des orientations suivies par une organisation ( prendre au sens large) en terme de scurit. A ce titre elle se doit d'tre labore au niveau de la direction de l'organisation concerne, car elle concerne tous les utilisateurs du systme. A cet gard, il ne revient pas aux seuls administrateurs informatiques de dfinir les droits d'accs des utilisateurs mais aux responsables hirarchiques de ces derniers. Le rle de l'administrateur informatique est donc de s'assurer que les ressources informatiques et les droits d'accs celles-ci sont en cohrence avec la politique de scurit dfinie par l'organisation. De plus, tant donn qu'il est le seul connatre parfaitement le systme, il lui revient de faire remonter les informations concernant la scurit sa direction, ventuellement de conseiller les dcideurs sur les stratgies mettre en oeuvre, ainsi que d'tre le point d'entre concernant

la communication destination des utilisateurs sur les problmes et recommandations en terme de scurit. La scurit informatique de l'entreprise repose sur une bonne connaissance des rgles par les employs, grce des actions de formation et de sensibilisation auprs des utilisateurs, mais elle doit aller au-del et notamment couvrir les champs suivants :

Un dispositif de scurit physique et logique, adapt aux besoins de l'entreprise et aux usages des utilisateurs ; Une procdure de management des mises jour ; Une stratgie de sauvegarde correctement planifie ; Un plan de reprise aprs incident ; Un systme document jour ;

Les causes de l'inscurit

On distingue gnralement deux types d'inscurits :

l'tat actif d'inscurit, c'est--dire la non connaissance par l'utilisateur des fonctionnalits du systme, dont certaines pouvant lui tre nuisibles (par exemple le fait de ne pas dsactiver des services rseaux non ncessaires l'utilisateur) l'tat passif d'inscurit, c'est--dire la mconnaissance des moyens de scurit mis en place, par exemple lorsque l'administrateur (ou l'utilisateur) d'un systme ne connat pas les dispositifs de scurit dont il dispose.