Académique Documents
Professionnel Documents
Culture Documents
Scurit
inform a t i q u e
I
ro pour les PME-PM
Edition Trend Mic
Protgez votre
entreprise
A mettre
dans toutes
les poches!
Astuces gratuites sur dummies.com
Scurit
informatique
POUR
LES NULS
EDITION PME-PMI
de Trend Micro
Wiley dite galement ses livres sous divers formats lectroniques. Certains contenus publis peu-
vent ne pas tre disponibles au format lectronique.
ISBN: 978-0-470-66694-4
Imprim et reli en Grande-Bretagne par Page Bros, Norwich
10 9 8 7 6 5 4 3 2 1
Introduction
V ous avez pu constater limpact des virus, spams et
logiciels espions sur les ordinateurs; ils infectent les
fichiers, bloquent les e-mails et, dans certains cas, dtruisent
mme des machines qui taient en parfait tat de marche.
Mais quelles sont les rpercussions sur une entreprise? Vous
avez instaur des mesures de scurit informatique de base,
mais sont-elles suffisantes? Et si quelque chose de dangereux
est en train de se produire sur vos rseaux, tes-vous en
mesure de le dtecter?
propos de ce livre
Le prsent livre indique quun investissement dans la scurit
informatique na pas besoin dtre particulirement lev ou
chronophage. En fait, il est probable que vous ayez dj mis
en place la plupart des mesures de scurit ncessaires; vous
devez simplement vrifier que les diffrents outils et mesures
de protection fonctionnent de manire coordonne.
Conventions utilises
dans ce livre
Les livres Pour les Nuls ont leurs propres pratiques
dexcellence. Par exemple, lorsque ce livre a t imprim,
certaines adresses Internet, qui apparaissent en police pour
les faire ressortir, peuvent tre coupes et apparatre sur
deux lignes de texte. Dans ce cas, soyez certain que nous
navons pas ajout de caractres supplmentaires (comme
des traits dunion) pour indiquer cette rupture. Ainsi, lors
de lutilisation de lune de ces adresses Internet, tapez
exactement ladresse qui apparat dans ce livre en prtendant
que la rupture nexiste pas.
Structure du livre
Les domaines quune petite entreprise doit prendre
en compte afin de grer les menaces pour la scurit
informatique sont couverts dans les six chapitres de ce petit
livre. Nous esprons que les titres vous indiqueront ce que
vous devez savoir sur le contenu:
Selon cette enqute, les types dincidents les plus graves aux-
quels sont confrontes les entreprises sont les suivants, clas-
ss par ordre de frquence:
(continu)
8 Scurit Informatique Pour les Nuls
(continu)
Dommages, destruction
ou vol de donnes
Vous nen avez peut-tre pas conscience, mais la plupart des
entreprises dpendent des donnes pour bien fonctionner.
Chapitre 1: valuer les menaces pour la scurit 11
Que cela vous plaise ou non, les donnes graissent les rouages
de votre entreprise, de la simple liste de noms et dadresses
de clients aux droits de proprit intellectuelle fondamentaux
qui rendent vos produits et services uniques, en passant par
ladministration des paiements et factures. Quand ces donnes
confidentielles sont endommages, dtruites ou voles, les
problmes peuvent tre considrables.
Usurpation didentit et
vol de mot de passe
Nous connaissons tous les dangers dune usurpation
didentit dans lenvironnement de consommation actuel.
Mais vous ne savez peut-tre pas quelle est tout aussi dan-
gereuse sur le plan commercial. En volant des mots de passe
et des codes dentre, les fraudeurs peuvent se faire passer
pour les reprsentants officiels dune entreprise.
Vol financier
Les vols financiers dclars par les entreprises sont en ralit
assez rares. Lenqute de 2008 sur les failles de scurit de
linformation indique quaucune perte financire na t subie
dans 88% des failles les plus graves. Toutefois, ce chiffre
Chapitre 1: valuer les menaces pour la scurit 13
relativement faible peut dcouler du fait que les entreprises
grent les vols internes en leur sein, ou nient simplement ces
vols. Aprs tout, personne naime avouer stre fait voler de
largent.
Cots de la ractivit
La mise en place dune raction un incident de scurit peut
coter trs cher, bien que lvaluation de toutes les dpenses
lies celle-ci soit difficile.
Site Internet
Donnes
condentielles
Infrastructure de
communication
critique
Traitement
critique pour
une mission
Communications
par e-mails
Autre
Responsabilits lgales
Il existe de nombreuses lois que vous devez garder lesprit
quand vous valuez vos responsabilits en matire de scu-
rit informatique. Votre organisation doit essentiellement se
proccuper de ses responsabilits en matire de vie prive et
de communications lectroniques, ainsi que du traitement du
personnel, tout en tenant compte de la vague de rglementa-
tions de la Commission Europenne.
La rponse de lindustrie
de la scurit
Dans les premiers temps de la scurit informatique, les
fournisseurs privilgiaient le domaine des logiciels antivirus
et des pare-feux. Mais ce secteur commence aujourdhui
slargir car les entreprises se rendent compte quelles ont
besoin dune dfense coordonne contre les attaques mettant
mal la scurit de leurs informations.
lments intgrer
Si les politiques de scurit varient dune entreprise lautre,
elles doivent nanmoins toujours comprendre les lments
suivants:
Chapitre 2: Initier une politique de scurit 21
Une explication claire des principes de la politique,
notamment les objectifs finaux et limportance
stratgique de la scurit de linformation pour
lentreprise.
Une dclaration de soutien de la direction suprieure,
dmontrant son engagement envers la scurit de
linformation.
De la formation pour permettre aux employs de
comprendre la scurit de linformation et les risques.
Une explication sur les normes de scurit minimales
mettant laccent sur les procdures suivre dans les
domaines particulirement importants pour lentreprise.
Chaque politique de scurit devrait notamment
aborder les prcautions lmentaires en matire de
virus informatiques, les directives sur le comportement
adopter sur Internet, et les instructions pour crer des
mots de passe.
Des dfinitions des fonctions et responsabilits au sein
de lentreprise en matire de scurit de linformation.
Les procdures adopter concernant les incidents de
scurit: dclaration, traitement et rsolution.
Les plans de continuit des affaires qui expliquent
comment lentreprise peut continuer fonctionner en
cas de panne due une catastrophe comme un incendie
ou une inondation.
Des rfrences aux documents de support, comme les
politiques du personnel, les procdures, les directives ou
les spcifications et normes sur la scurit. Par exemple,
si vous dsirez expliquer en dtail la politique Internet,
vous pouvez inclure:
Lutilisation dInternet par lentreprise et les
menaces associes
Les services Internet qui peuvent tre utiliss et
ceux qui sont interdits
La personne qui autorise les connexions Internet
La personne responsable de la scurit
informatique
Les normes, directives et pratiques suivre.
22 Scurit Informatique Pour les Nuls
Assurer le fonctionnement
de la politique
De trop nombreuses politiques de scurit prennent la
poussire sur une tagre ou restent sur un disque dur; elles
sont ngliges, impopulaires et, surtout, inappliques. Pour
quune politique de scurit produise un effet, elle doit tre
un document vivant auquel la direction et les employs ont
accs et peuvent se rfrer.
Scurit hberge de la
messagerie lectronique
Protger lentreprise contre les spams est une mthode
vidente pour attnuer les frais dadministration.
Contrle daccs
Les systmes de contrle daccs contrlent lidentit relle
des utilisateurs qui ont accs vos systmes, vrifient que
les tches quils ralisent sont autorises, les empchent
dinfecter vos systmes avec des virus et autres programmes
malveillants, et de voler des informations confidentielles ou
dy accder. Les outils daccs regroupent des systmes pour
lauthentification, la gestion des identits, les autorisations,
les noms dutilisateurs et les mots de passe.
Dlimiter le primtre
Les directeurs de la TI et des transactions consacrent
normment de temps et dnergie riger de grandes
barrires autour de leurs systmes informatiques. Ils achtent
des pare-feux et des systmes de prvention dintrusion et,
dans certains cas, configurent des rseaux privs virtuels afin
que les utilisateurs puissent se connecter en toute scurit
aux systmes de lentreprise quand ils ne sont pas au bureau.
Gestion de la scurit
La majeure partie de ce qui constitue la scurit informatique
concerne une administration de base: sassurer de raliser
les tches de maintenance essentielles requises dans
lenvironnement informatique de lentreprise. Certaines de
40 Scurit Informatique Pour les Nuls
Contrler la technologie
Ladministration de la scurit consiste galement contrler
la technologie de lutte contre les programmes malveillants
(anti-virus et anti-logiciel espion) et les spams. Les logiciels
de lutte contre les programmes malveillants sont prsents
dans plus de 95% des petites et des grandes entreprises. Il
sagit galement dune technologie trs mature, les principaux
produits tant difficiles diffrencier.
La scurit physique
La protection des locaux, des installations, du personnel,
des systmes informatiques et autres actifs de lentreprise
constitue certainement le travail de scurit le plus pratique.
Si vous pensez que la scurit physique na pas sa place dans
un livre sur la scurit informatique, dtrompez-vous.
Les plans de reprise sur sinistre, quand ils sont en place, sont la
mthode la plus adapte quand lvnement survient, alors que
les plans qui concernent les pannes de systme, les attaques
des sites Web et linfection par des programmes malveillants
sont moins efficaces, car moins rigoureux peut-tre.
(continu)
54 Scurit Informatique Pour les Nuls
(continu)
Lingnierie sociale
Au cours de lanne coule, les criminels ont employ de
plus en plus les techniques dingnierie sociale (en fait, le
cyber-mensonge) pour atteindre leurs buts. Ils surfent sur
les problmes publis dans les mdias ou prtendent tre
votre banque ou une socit de livraison pour vous persuader
douvrir un fichier malveillant. Ils utilisent les e-mails
dhameonnage (fishing) pour tenter de soutirer des donnes
personnelles aux utilisateurs, en leur demandant par exemple
de remplir un questionnaire en change dune rcompense
financire. Ils peuvent aussi se faire passer pour des sites de
rseaux sociaux, voire des fournisseurs de logiciels antivirus.
On monte le volume
La croissance du volume des programmes malveillants
gnr aujourdhui est phnomnale. Selon AV-Test, en 1988,
il existait 1738 menaces isoles. Ce chiffre a doubl chaque
anne jusquen 2005. Mais au cours des dernires annes, le
nombre de nouvelles menaces a explos. Les statistiques qui
suivent font froid dans le dos:
Le monde souterrain de
la cybercriminalit
Contrairement lconomie du monde rel, lconomie du
cybercrime est en plein boom. Selon certaines estimations,
le monde souterrain de la cybercriminalit gnre dsormais
des bnfices impressionnants de 100milliards de dollars
par an. Alors que les enchres montent, ce monde souterrain
se professionnalise et se structure davantage comme une
56 Scurit Informatique Pour les Nuls
30,000 26,598
25,000
20,000 16,438
15,000
10,160
10,000 6,279
3,881
5,000 2,397
799 1,484
57 205
0
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
Leffet McColo
Sil vous faut des preuves suppl- de vol de carte de crdit, de fraude
mentaires de la prdominance con- et descroqueries du type devenez
tinue des menaces, laffaire McColo, riche rapidement.
survenue en 2009, devrait vous en
Aprs des annes denqute,
convaincre. McColo Corp tait un
McColo a finalement t ferm en
hbergeur de sites Internet de San
novembre 2008, entranant une chute
Jos en Californie qui tait con-
mondiale des spams de 50 75% en
sidr comme hbergeant toutes
une nuit. Toutefois, la dconnexion
sortes doprateurs cybercriminels
de McColo na eu quun effet tem-
(du spammeur linfrastructure de
poraire; le niveau des spams a pro-
contrle-commande) pour certains
gressivement redmarr, et lun des
des botnets identifis les plus impor-
plus grands botnets qui tait cens
tants du monde. Ces botnets con-
tre hberg par McColo semble
trlaient des milliers dordinateurs
gagner en robustesse, tant contrl
impliqus dans des activits de
partir dun autre lieu.
spams, de pornographie infantile,
TROJ_PROXY en Action
???
Spam Information
sensible
Site Web
compromis
Rseau de communication
ouvert
Un rseau de protection
intelligent
Se tourner vers un Rseau de Protection Intelligent (Smart
Protection Network) est une nouvelle approche qui exploite les
technologies les plus rcentes.
Lavenir de la scurit
Les ressources de scurit tant dj tires au maximum et
la situation devenant chaque jour plus pnible, lassociation
de la technologie dans le nuage (in-the-cloud) et des mthodes
de protection traditionnelles dessine lavenir de la scurit et,
dans les tests, elle apporte le meilleur niveau de protection.
2010 Trend Micro, Inc. Tous droits rservs. Trend Micro et le logo t-ball sont des marques commerciales
ou des marques dposes de Trend Micro Inc. Tous les autres noms de socit et/ou de produit sont des
marques commerciales ou marques dposes appartenant leur propritaire respectif.
Distinguez la ralit
de la fiction
Dcouvrez
Comment:
Formuler une
politique de scurit
Protgez-vous Constituter votre
des menaces informatiques dfense
Les menaces lies scurit informatique sont partout,
et de nouvelles semblent merger chaque jour. Mais, si Combattre en continu
vous tes une petite ou moyenne entreprise, vous les menaces
disposez de ressources limites pour protger vos
actifs de valeur. Ce livre vous indique les principes de
base dont vous avez besoin pour tre vraiment
protg. En prsentant les grandes menaces et leur
impact potentiel sur votre entreprise, il vous aide
crer une politique de scurit, constituer une
dfense coordonne, et surtout, mieux grer votre
scurit. Les cybercriminels voluent constamment en
utilisant de nouvelles mthodes dattaque. Voici
comment endiguer cette mare montante.
Des explications
pertinentes Allez sur
rapides @www.dummies.com!
Des informations
L'ESPRIT
Trouvez la liste de tous nos livres
tres aides
Des icnes et dau Faites votre choix parmi
la lecture
DES NULS diffrentes catgories de sujets
Un Top Ten Inscrivez-vous pour avoir des
humour
Une bonne dose d
astuces sur etips.dummies.com