Vous êtes sur la page 1sur 78

ts de

Avec les complimen

Scurit
inform a t i q u e

I
ro pour les PME-PM
Edition Trend Mic
Protgez votre
entreprise
A mettre
dans toutes
les poches!
Astuces gratuites sur dummies.com
Scurit
informatique
POUR

LES NULS

EDITION PME-PMI

de Trend Micro

A John Wiley and Sons, Ltd, Publication


Scurit informatique pour les nuls, edition PME-PMI
Publi par
John Wiley & Sons, Ltd
The Atrium
Southern Gate
Chichester
West Sussex
PO19 8SQ
Angleterre
Pour obtenir des informations dtailles sur la cration dun livre Pour les Nuls personnalis pour
votre entreprise ou organisation, veuillez contacter CorporateDevelopment@wiley.com. Pour
obtenir des informations sur la licence de la marque Pour les Nuls pour des produits ou services,
veuillez contacter BrandedRights&Licenses@Wiley.com.
Visitez notre site Internet www.customdummies.com
Copyright 2010 de John Wiley & Sons Ltd, Chichester, West Sussex, Angleterre
Tous droits rservs. Il est interdit de reproduire, de stocker dans un systme dinterrogation ou de
transmettre sous une forme ou par tout autre moyen lectronique, mcanique, de photocopie,
denregistrement, de scannage ou autre, tout ou partie de la prsente publication, sauf au titre des
dispositions de la loi anglaise Copyright, Designs and Patents Act 1988 ou dune licence mise par
Copyright Licensing Agency Ltd, 90 Tottenham Court Road, London, W1T 4LP, R.-U., sans
lautorisation crite de lditeur. Les demandes dautorisation auprs de lditeur doivent tre
adresses Permissions Department, John Wiley & Sons, Ltd, The Atrium, Southern Gate,
Chichester, West Sussex, PO19 8SQ, Angleterre, par e-mail permreq@wiley.com, ou par tlcopie
au (44) 1243 770620.
Marques de commerce: Wiley, le logo de Wiley Publishing, For Dummies, le logo du personnage
Dummies Man, A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy
Way, Dummies.com, ainsi que la prsentation des produits sont des marques de commerce ou des
marques dposes de John Wiley & Sons, Inc. et/ou de ses socits affilies aux tats-Unis et dans
dautres pays, et ne doivent pas tre utiliss sans autorisation crite. Toutes les marques de com-
merce sont la proprit de leurs dtenteurs respectifs. Wiley Publishing, Inc., nest pas associe aux
produits ou aux fournisseurs mentionns dans le prsent livre.

LIMITE DE RESPONSABILIT/DNI DE GARANTIE: LDITEUR, LAUTEUR ET TOUTE AUTRE


PERSONNE IMPLIQUE DANS LA PRPARATION DU PRSENT LIVRE NE FONT AUCUNE
DCLARATION OU NACCORDENT AUCUNE GARANTIE QUANT LEXACTITUDE OU
LINTGRALIT DU CONTENU DU PRSENT LIVRE; EN PARTICULIER, ILS NIENT SPCIFIQUEMENT
TOUTES LES GARANTIES, Y COMPRIS SANS AUCUNE LIMITE, LES GARANTIES DADQUATION
UN USAGE PARTICULIER. AUCUNE GARANTIE NE PEUT TRE CRE OU PROLONGE PAR
DES DOCUMENTS DE VENTE OU DE PROMOTION. LES CONSEILS ET STRATGIES CONTENUES
DANS LE PRSENT LIVRE PEUVENT NE PAS TRE ADAPTS TOUTES LES SITUATIONS. LE
PRSENT LIVRE EST VENDU, TANT ENTENDU QUE LDITEUR NOFFRE PAS DE SERVICES
JURIDIQUES, COMPTABLES OU AUTRES SERVICES PROFESSIONNELS. LES LECTEURS QUI
VEULENT OBTENIR UNE AIDE PROFESSIONNELLE DOIVENT SADRESSER UN PROFESSIONNEL
COMPTENT. NI LDITEUR, NI LAUTEUR NE SERONT TENUS RESPONSABLES DES DOMMAGES
DCOULANT DU CONTENU DU PRSENT LIVRE. LA MENTION DUNE ORGANISATION OU DUN
SITE INTERNET DANS LE PRSENT LIVRE EN CITATION ET/OU COMME SOURCE POTENTIELLE
DE RENSEIGNEMENTS SUPPLMENTAIRES NE SIGNIFIE PAS QUE LAUTEUR OU LDITEUR
ENTRINENT LES RENSEIGNEMENTS OU LES RECOMMANDATIONS QUE PEUVENT FOURNIR
LORGANISATION OU LE SITE INTERNET. EN OUTRE, LES LECTEURS DOIVENT SAVOIR QUE LES
SITES INTERNET MENTIONNS DANS LE PRSENT LIVRE PEUVENT AVOIR CHANG OU
DISPARU DEPUIS LA CRATION DU LIVRE.

Wiley dite galement ses livres sous divers formats lectroniques. Certains contenus publis peu-
vent ne pas tre disponibles au format lectronique.
ISBN: 978-0-470-66694-4
Imprim et reli en Grande-Bretagne par Page Bros, Norwich
10 9 8 7 6 5 4 3 2 1
Introduction
V ous avez pu constater limpact des virus, spams et
logiciels espions sur les ordinateurs; ils infectent les
fichiers, bloquent les e-mails et, dans certains cas, dtruisent
mme des machines qui taient en parfait tat de marche.
Mais quelles sont les rpercussions sur une entreprise? Vous
avez instaur des mesures de scurit informatique de base,
mais sont-elles suffisantes? Et si quelque chose de dangereux
est en train de se produire sur vos rseaux, tes-vous en
mesure de le dtecter?

tant donn la tendance grandissante des entreprises


obtenir davantage un cot moindre, la scurit peut
descendre de quelques crans sur la liste des priorits. Vous
devez vous concentrer sur tellement de sujets diffrents!
Mais, tant donn que les menaces pour votre scurit
informatique arrivent de tous les cts, la scurit devient
une dpense de plus en plus incontournable.

Nous allons nous rpter tout au long de ce livre et nous nous


en excusons par avance, mais vous ne devez jamais loublier:
une petite entreprise est particulirement vulnrable aux
menaces informatiques car elle ne dispose pas dun personnel
informatique ddi pour chapeauter lensemble. Mais ne vous
inquitez pas: vous protger est probablement plus facile
que vous ne le pensez. Et en lisant ce livre, vous avez fait le
premier pas pour atteindre cet objectif.

En dautres termes, consacrer du temps et des efforts la


protection de votre entreprise vous vitera des cots et des
problmes par la suite et prservera le succs futur de votre
entreprise. Ce livre prsente quelques principes de scurit
essentiels pour le chef dune petite entreprise, examine les
principales menaces actuelles et venir, et prsente certaines
solutions nouvelles au problme grandissant de la gestion de
la scurit informatique.

Comprendre les menaces auxquelles son entreprise est


confronte, leur impact potentiel et les rglementations
2 Scurit Informatique Pour les Nuls

respecter est le minimum quun chef dentreprise se doive


dassurer. En passant ltape suivante et en rdigeant
une politique de scurit (et peut-tre mme des politiques
dutilisation acceptable pour les employs concernant les
e-mails et Internet), vous pourrez vous protger un peu
mieux.

propos de ce livre
Le prsent livre indique quun investissement dans la scurit
informatique na pas besoin dtre particulirement lev ou
chronophage. En fait, il est probable que vous ayez dj mis
en place la plupart des mesures de scurit ncessaires; vous
devez simplement vrifier que les diffrents outils et mesures
de protection fonctionnent de manire coordonne.

Il nest pas ncessaire que les dpenses en scurit soient


leves; en fait, la scurit se simplifie et devient meilleur
march.

Tous les jours, vous entendez parler dattaques de


cybercriminels. Ils ne sintressent plus uniquement aux
grandes entreprises, mais se tournent de plus en plus vers
les petites. En effet, les petites entreprises ne disposent
pas de dfenses aussi solides et ne peuvent pas se payer
les conseillers professionnels qui pourraient les aider les
renforcer. Toutefois, les petites et moyennes entreprises
sappuient galement sur la Technologie: supprimez leur
serveur Internet ou volez leur liste de diffusion et elles se
trouvent dans lembarras.

La bonne nouvelle, cest que le contrle et la gestion de la


scurit informatique deviennent plus simples et moins
chers. De plus, les contrles techniques intgrs, proposs
par les fournisseurs, deviennent de plus en plus sophistiqus
et performants, et diffrentes solutions mergent pour
correspondre aux budgets des entreprises de toutes tailles.
Introduction 3

Conventions utilises
dans ce livre
Les livres Pour les Nuls ont leurs propres pratiques
dexcellence. Par exemple, lorsque ce livre a t imprim,
certaines adresses Internet, qui apparaissent en police pour
les faire ressortir, peuvent tre coupes et apparatre sur
deux lignes de texte. Dans ce cas, soyez certain que nous
navons pas ajout de caractres supplmentaires (comme
des traits dunion) pour indiquer cette rupture. Ainsi, lors
de lutilisation de lune de ces adresses Internet, tapez
exactement ladresse qui apparat dans ce livre en prtendant
que la rupture nexiste pas.

Les livres Pour les Nuls emploient galement des icnes


dans les marges pour mettre en lumire des informations
spcifiques. Les icnes de ce livre sont:

Les informations situes ct de cette cible peuvent tre


utilises immdiatement.

Cette icne indique des informations garder lesprit


pendant la lecture de ce sujet.

Cet icne signale des pratiques particulirement dangereuses.

Structure du livre
Les domaines quune petite entreprise doit prendre
en compte afin de grer les menaces pour la scurit
informatique sont couverts dans les six chapitres de ce petit
livre. Nous esprons que les titres vous indiqueront ce que
vous devez savoir sur le contenu:

Chapitre 1: valuer les menaces pour la scurit


Chapitre 2: Initier une politique de scurit
Chapitre 3: tablir une dfense coordonne
Chapitre 4: Connatre votre ennemi
4 Scurit Informatique Pour les Nuls

Chapitre 5: Concevoir des solutions pratiques


Chapitre 6: Les dix principales mesures de scurit
informatique pour les petites entreprises

Nayez pas peur. Ce livre nest pas un manuel technique (nous


laissons cela dautres et vos experts en technologie).
Lancez-vous et commencez dcouvrir comment amliorer la
scurit de votre petite entreprise!
Chapitre 1

valuer les menaces


pour la scurit
Dans ce chapitre
Dcouvrez les diffrentes menaces informatiques auxquelles une
petite entreprise est confronte
valuez leur impact potentiel sur votre entreprise
Commencez accorder la priorit aux principaux problmes
Consultez les rglementations que vous devez respecter
valuez la ractivit de lindustrie de la scurit

L e prsent chapitre identifie les problmes frquents: les


menaces pour la scurit qui viennent consommer les
ressources de lentreprise. Nous observons galement limpact
possible de ces menaces sur votre entreprise (de la panne du
rseau la perte financire et aux rpercussions ngatives sur
votre rputation auprs des partenaires et clients).

Sans cder aux prdictions de catastrophisme sur la dbcle


imminente de la Technologie de lInformation (TI), il existe
certains risques dont vous devez tre conscient et des rgle-
mentations que vous devez respecter. En planifiant lavance
un dsastre potentiel, vous ne paniquerez pas sil survient
rellement.
6 Scurit Informatique Pour les Nuls

Reconnatre les principales


menaces
Depuis que les systmes informatiques et les rseaux sont
entrs dans les petites entreprises la fin des annes 1980,
plusieurs menaces ont plan au-dessus de leur tte. Si vous
tes du genre voir le verre moiti plein et que vous pensez
que ces dangers sont exagrs, ou que vous tes un adepte de
la thorie de la conspiration qui pense quelles ont t minimi-
ses, ce qui est certain, cest quelles ne disparatront pas.

Une enqute sur la scurit informatique a indiqu que les


petites entreprises ont dclar en moyenne six incidents par
an, voire plus pour certaines. Ce chiffre peut paratre insignifi-
ant, mais si votre entreprise compte moins de 50 employs et
ne dispose daucun service informatique ddi, chaque faille
de scurit ne constitue pas uniquement un problme en soi,
elle peut galement puiser vos ressources de manire
considrable.

Comprendre ces menaces est le premier pas faire pour les


affronter. En cette priode dusurpation didentit, de spams
et de logiciels espions (logiciels indsirables qui surveil-
lent secrtement lactivit dun utilisateur dans lintention
denregistrer des informations personnelles et de les trans-
mettre), vous pourriez tre surpris dapprendre quel point
certaines de ces menaces, comptant parmi les plus graves,
peuvent tre dangereuses.

Selon cette enqute, les types dincidents les plus graves aux-
quels sont confrontes les entreprises sont les suivants, clas-
ss par ordre de frquence:

Panne du systme ou corruption des donnes


Infection virale ou logiciel destructeur
Mauvais usage des systmes dinformation par le
personnel
Accs non autoris par des tiers (y compris des tenta-
tives de piratage)
Vol physique de lquipement informatique
Chapitre 1: valuer les menaces pour la scurit 7
Vol ou fraude laide dordinateurs
Vol ou divulgation non autorise dinformations
confidentielles

Glossaire des principales menaces


Savoir diffrencier un botnet dun utilis pour collecter le nom
Cheval de Troie est un savoir impor- dutilisateur et le mot de passe.
tant dans le royaume de la scurit
Programme malveillant (mal-
informatique. Vrifiez donc les dfini-
ware): abrviation de malicious
tions de la liste suivante:
software ; tout programme,
Logiciel publicitaire (adware): logiciel ou code malveillant.
logiciel qui affiche des bannires
Hameonnage (phishing): tech-
publicitaires dans les naviga-
nique employe pour duper les
teurs comme Internet Explorer
utilisateurs laide de-mails
et Mozilla.
dapparence lgitime afin de col-
Porte drobe (backdoor) : lecter des donnes personnelles
application qui permet des sys- sur un site Internet factice.
tmes distants davoir accs aux
Accs frauduleux aux privilges
ordinateurs.
Root (rootkit): collection doutils
Botnet ou Bot: cheval de Troie quun pirate utilise pour masquer
contrl distance qui infecte son intrusion et avoir accs un
des htes Internet; une collec- rseau ou un systme.
tion est connue sous le nom de
Courrier non sollicit (Spam) :
rseau de zombies (botnet).
E-mail risque non sollicit ;
Attaque par saturation (denial of peut contenir des liens vers un
Service DoS): cheval de Troie code malveillant.
qui interrompt ou empche le
Spoofing : programmation
flux entrant et sortant des don-
dordinateurs pour usurper
nes du systme, rendant ce
lidentit de quelquun dautre.
dernier inutile au final. Tout pro-
Le spoofing IP utilise une fausse
gramme malveillant qui arrte
adresse IP pour accder un
le fonctionnement normal dun
rseau.
systme ou dun rseau.
Logiciel espion (spyware) :
Enregistreur de frappe (keylog-
logiciel indsirable qui surveille
ger): logiciel espion qui indique les
secrtement lactivit dun util-
frappes sur les touches; souvent
isateur et enregistre en gnral

(continu)
8 Scurit Informatique Pour les Nuls

(continu)

des informations personnelles Ver (Worm) : type de virus qui


pour les transmettre. peut rpandre des copies de lui-
mme ou de ses segments sur
Cheval de Troie (trojan) : pro-
les rseaux.
gramme apparemment inoffen-
sif, mais dont lintention cache Vulnrabilit Jour Zro (Zero-
est malveillante. day exploit) : programme
malveillant qui exploite une faille
Virus: code crit afin de se rpli-
rcemment dcouverte dans un
quer. Un virus tente de se rpan-
systme avant quun correctif ne
dre dun ordinateur lautre en
soit disponible.
infectant dautres fichiers.

Et, avant que vous ne soyez certain que votre entreprise


est protge contre toutes ces menaces, nous soulignerons
lvolution constante des attaques informatiques. Linfection
virale tait notamment la menace la plus srieuse il y a
quelques annes, reprsentant la moiti de tous les inci-
dents de scurit dans cette tude. Mais aujourdhui, elle ne
reprsente que 21%, et les dangers les plus graves sont les
pannes de systmes / corruption de donnes. Qui sait quel
sera le problme numro un dans quelques annes ou dans
quelques mois? Dans le Chapitre 5, nous vous proposons des
conseils afin de maintenir la flexibilit de votre systme pour
quil sadapte aux problmes futurs.

Alors que la TI gagne en sophistication, noubliez pas de pren-


dre en compte les menaces fondamentales. Le mauvais usage
des systmes par les employs est une menace prioritaire de
la liste actuelle. Avec la sophistication grandissante des sys-
tmes de scurit informatique, certaines entreprises oublient
peut-tre simplement de fermer les accs par les fentres et
les portes.

Impact des failles de scurit


Les failles de scurit peuvent avoir de graves consquences
pour votre entreprise, de la perte financire aux atteintes la
rputation de votre entreprise.
Chapitre 1: valuer les menaces pour la scurit 9
Selon lenqute vise prcdemment, le cot moyen de
lincident le plus grave pour une petite entreprise variait de
11500 23000 Euros. videmment, cette statistique implique
que certaines entreprises ont perdu beaucoup plus. Les plus
gros problmes naissent souvent dune combinaison de rper-
cussions. Pour une petite entreprise, la continuit des affaires
ou la perte de productivit constitue laspect le plus important.

tant donn votre dpendance actuelle envers linformatique,


la perturbation des activits quotidiennes de votre entreprise
peut tre catastrophique. Examinez simplement les scnarios
suivants:

Votre rseau tombe en panne de courant ou le serveur ne


fonctionne pas correctement. Quel est limpact financier
de chaque heure de productivit perdue?
Votre site Internet ne fonctionne plus et vous perdez une
journe de commandes. Quels seront les pertes de reve-
nus et les prjudices pour votre rputation?
Vos employs passent du temps surfer sur des sites
Internet qui nont aucun rapport avec votre activit,
comme Facebook ou MySpace. Quel est le cot en termes
de perte de productivit, et quels sont les risques pour
votre systme informatique?
Les employs peuvent porter directement atteinte
votre rputation en consultant un contenu illicite sur
Internet. Indirectement, leur navigation peut menacer
lentreprise en rcoltant des programmes malveillants
qui peuvent sinfiltrer sur lun de vos ordinateurs et
installer des logiciels espions ou un botnet pour hberger
des documents restreints que des utilisateurs distants
vont visualiser ou partager.

Selon lenqute, les incidents graves deviennent encore plus


srieux. Le nombre global peut diminuer, mais il suffit dun seul
vnement catastrophique pour faire faillir votre entreprise.

Observez limpact occult des failles de scurit. Souvent, les


problmes les plus graves sont ceux auxquels vous ne pensez
pas immdiatement, comme la perte dune information com-
merciale importante dont vous avez besoin pour conclure une
transaction, ou le transfert de donnes un concurrent ou un
criminel.
10 Scurit Informatique Pour les Nuls

Vrifiez votre assurance pour tre certain quelle vous couvre


contre les pertes financires quune faille importante peut
engendrer. Mettez en place des programmes de reprise sur
sinistre et de continuit des affaires afin de pouvoir reprendre
le travail le plus rapidement possible aprs un tel vnement.

Les sections suivantes prsentent certaines des rpercus-


sions des failles de scurit.

Reprise aprs une panne


dordinateurs, du rseau
ou du site Web
La majeure partie des incidents de scurit entrane un temps
darrt, sous une forme ou une autre. Un incident majeur peut
entraner larrt complet dun ordinateur, dun rseau ou dun
serveur Web. Mme un problme moins grave, comme une
attaque par saturation (une tentative pour empcher les utilis-
ateurs daccder un systme ou un rseau) peut transformer
votre rseau en tortue.

Le temps peut tre un lment critique; si votre ordinateur


tombe en panne pendant que vous travaillez sur une nouvelle
transaction trs importante, qui peut dire quel sera le cot
final de cette interruption? De mme, si votre site Internet
nest pas disponible quand un client veut passer une com-
mande ou envoyer une demande, ce client pourrait ne jamais
revenir.

Un ralentissement du systme teste entirement lefficacit


de vos plans de secours. Avec de bons plans de reprise aprs
sinistre ou de continuit des affaires, vous pouvez restaurer
les donnes perdues ou passer sur une machine ou un rseau
redondant, et continuer travailler comme si rien ne stait
pass.

Dommages, destruction
ou vol de donnes
Vous nen avez peut-tre pas conscience, mais la plupart des
entreprises dpendent des donnes pour bien fonctionner.
Chapitre 1: valuer les menaces pour la scurit 11
Que cela vous plaise ou non, les donnes graissent les rouages
de votre entreprise, de la simple liste de noms et dadresses
de clients aux droits de proprit intellectuelle fondamentaux
qui rendent vos produits et services uniques, en passant par
ladministration des paiements et factures. Quand ces donnes
confidentielles sont endommages, dtruites ou voles, les
problmes peuvent tre considrables.

Le vol des informations clients peut savrer extrmement


prjudiciable. Combien de fois un vendeur a-t-il quitt son
entreprise en emmenant ses clients les plus importants avec
lui? Ou, dans le cas des droits de proprit intellectuelle, com-
bien de directeurs ont quitt une entreprise pour en crer une
autre qui finit par lui ressembler trangement? Des donnes
incompltes ou manquantes peuvent provoquer des dommages
tout aussi importants, et leur absence est souvent constate
uniquement aprs les faits, quand il sagit de faire appliquer
des contrats ou de raliser des tches administratives.

Les grandes entreprises ont mis en place des garde-fous pour


viter ce type de problmes. Pour les petites entreprises, ces
scnarios se produisent bien trop souvent.

Selon la dernire tude de TrendLabs, les programmes de


vol de donnes sont lune des catgories de menaces dont
lvolution est la plus rapide aujourdhui. Ils peuvent prendre
plusieurs formes et vous pouvez ne pas vous rendre compte
du moment o cela se produit. Lobjectif principal est de
capter des donnes sensibles sur les ordinateurs des utilisa-
teurs et de les envoyer des oprateurs criminels pour une
exploitation directe ou une vente sur le march noir.

Usurpation didentit et
vol de mot de passe
Nous connaissons tous les dangers dune usurpation
didentit dans lenvironnement de consommation actuel.
Mais vous ne savez peut-tre pas quelle est tout aussi dan-
gereuse sur le plan commercial. En volant des mots de passe
et des codes dentre, les fraudeurs peuvent se faire passer
pour les reprsentants officiels dune entreprise.

tant donn que les comptes dune entreprise fonctionnent


souvent laide de crdits, les imposteurs se faisant passer
12 Scurit Informatique Pour les Nuls

pour des directeurs peuvent contracter des dettes consi-


drables avant dtre dmasqus. Ensuite, au moment de
rgler les factures la fin du mois, lentreprise a une surprise
trs dsagrable. Dans 88% des failles les plus graves, aucune
perte financire na t subie. Mais ne sagit-il pas dun dni
de la part des entreprises?

Selon le groupe de scurit en ligne Get Safe Online,


lusurpation de lidentit dune entreprise peut prendre de
nombreuses formes, notamment:

Cration dun compte marchand au nom de votre entre-


prise, puis acceptation de nombreux achats laide de
cartes de crdit voles et dpt des recettes sur le compte
bancaire des criminels. Quand vous recevez les plaintes
des clients et que la socit de cartes de crdit vous con-
tacte au sujet des factures, les voleurs ont disparu.
Fouille des poubelles pour obtenir les noms, les informa-
tions bancaires et autres informations sensibles sur les
employs.
Commande de marchandises auprs de votre site de-
commerce avec des cartes de crdit voles ou par tl-
phone avec de fausses informations bancaires (destines
ressembler une vraie socit).
Piratage de votre site Internet pour prsenter des infor-
mations factices ou dommageables, ou dtournement de
votre site pour diffuser de la pornographie.
Utilisation dun programme de vol de donnes pour col-
lecter les noms dutilisateurs et les mots de passe de
votre compte bancaire et transfrer vos fonds vers un
autre compte.

Selon ltude 2009 du Centre de recherche pour ltude et


lobservation des conditions de vie (CREDOC), lusurpation
didentit cote lconomie franaise 4 milliards deuros
par an.

Vol financier
Les vols financiers dclars par les entreprises sont en ralit
assez rares. Lenqute de 2008 sur les failles de scurit de
linformation indique quaucune perte financire na t subie
dans 88% des failles les plus graves. Toutefois, ce chiffre
Chapitre 1: valuer les menaces pour la scurit 13
relativement faible peut dcouler du fait que les entreprises
grent les vols internes en leur sein, ou nient simplement ces
vols. Aprs tout, personne naime avouer stre fait voler de
largent.

Cependant, si lon considre les failles de scurit sous un


autre angle, la plupart des attaques actuelles sont motives
par largent, un paiement financier quelconque constituant
lobjectif final. Ainsi, si votre entreprise ne perd pas dargent,
il est probable quune autre personne sera floue en aval.

Cots de la ractivit
La mise en place dune raction un incident de scurit peut
coter trs cher, bien que lvaluation de toutes les dpenses
lies celle-ci soit difficile.

Certains de ces cots ne seront pas immdiatement percep-


tibles, notamment:

Temps darrt de travail: tant donn que le personnel


reprsente le cot le plus lev dune entreprise, les per-
turbations subies par les employs reprsentent limpact
le plus important dun incident. Et il ne sagit pas unique-
ment du temps pass par le personnel qui rinstalle les
systmes dexploitation et restaure les donnes, mais
galement du cot de toutes les personnes incapables de
travailler pendant la restauration des systmes.
Perte dopportunits: dans le monde des affaires, le
temps, cest de largent, et le cot dune opportunit
perdue (le revenu potentiel que vous auriez pu dgager si
vous naviez pas subi cet incident) est un autre facteur
prendre en compte.

En moyenne, selon lenqute prcdemment cite, les entre-


prises dpensent entre 1200 et 2300euros pour reprendre
leurs activits aprs un incident grave, en plus des cots lis
au personnel.

Prjudice pour votre rputation


Dans le cadre dune faille de scurit, limage de votre entre-
prise auprs des clients est lun des aspects intangibles dune
14 Scurit Informatique Pour les Nuls

faille de scurit les plus difficiles quantifier. Les clients et


les partenaires se moquent probablement de savoir que vous
tiez occup rparer une faille de scurit. Tout ce quils
savent, cest que vous navez pas t en mesure de fournir le
service quils attendaient. Les clients, les partenaires et les
investisseurs peuvent par la suite vous considrer comme
une entit risque.

En outre, le comportement de vos employs envers ce quils


considrent comme une perte de temps inutile peut avoir une
influence sur leur engagement et leur productivit.

En tant que petite entreprise, vous pensez peut-tre que votre


rputation nest pas affecte par un incident de scurit. Mais
si un client se demande sil fait bien de travailler avec un petit
fournisseur, les problmes de scurit rguliers confirmeront
ses suspicions et linciteront travailler avec un acteur plus
grand qui sera en mesure de grer ces attaques.

valuer lampleur de la menace


pour votre entreprise
Il est vident que lampleur des menaces affectant la scurit
de linformation varie dune entreprise lautre. Pour une
start-up dans le domaine des hautes technologies disposant
dactifs numriques en grande quantit, le dfi consiste pro-
tger le protocole IP et grer sa rputation et ses relations
avec les fournisseurs et les acheteurs. Pour une socit plus
traditionnelle, comme une socit de taxis, la scurit infor-
matique consiste principalement grer son infrastructure de
communication et les ordinateurs de son rseau.

Certaines menaces sont universelles: le vol physique du


matriel informatique affecte toutes les entreprises car le
remplacement des produits vols a un cot. Mais il est gale-
ment ncessaire de penser aux vulnrabilits spcifiques de
votre entreprise et aux menaces qui peuvent vous concerner.
Utilisez le tableau 1-1 pour consulter les principales menaces
et vrifier les vulnrabilits de votre entreprise dans la pre-
mire colonne (les coches reprsentent les domaines dans
lesquels les principales menaces pourraient avoir un impact).
Chapitre 1: valuer les menaces pour la scurit 15
Tableau 1-1 Vrifier les vulnrabilits et les menaces
Infection virus/ Mauvaise
Panne Accs non Vol Vol
logiciels utilisation par Vol physique
systme autoris dordinateurs dinformations
malveillants le personnel

Site Internet

Donnes
condentielles
Infrastructure de
communication
critique
Traitement
critique pour
une mission
Communications
par e-mails
Autre

Une valuation formelle des risques, par un tiers indpendant


qui notera les points vulnrables de votre configuration infor-
matique et soulignera les risques auxquels vous pourriez tre
confront, est un exercice ncessaire. Certains fournisseurs
raliseront cette tude prix rduit dans lespoir dun contrat
futur. Chaque configuration est diffrente. Il convient donc de
faire appel un expert pour une tude personnalise; vous
pourriez tre surpris des rsultats.

Responsabilits lgales
Il existe de nombreuses lois que vous devez garder lesprit
quand vous valuez vos responsabilits en matire de scu-
rit informatique. Votre organisation doit essentiellement se
proccuper de ses responsabilits en matire de vie prive et
de communications lectroniques, ainsi que du traitement du
personnel, tout en tenant compte de la vague de rglementa-
tions de la Commission Europenne.

Respect de la vie prive


et des communications
La responsabilit dune entreprise qui traite des donnes
personnelles est tablie par la loi du 6 janvier 1978 relative
linformatique, aux fichiers et aux liberts. Cette loi stipule
que les entreprises doivent respecter certains principes.
Ainsi, toute donne dtenue doit:
16 Scurit Informatique Pour les Nuls

tre traite de manire quitable et lgale


tre traite pour des raisons limites
tre adquate, approprie et non excessive
tre prcise et jour
Ne pas tre conserve plus longtemps que ncessaire
tre traite en accord avec les droits de la personne
tre protge
Ne pas tre transfre vers dautres pays sans protection
approprie.

La Loi accorde galement aux individus un droit daccs aux


informations quune entreprise dtient sur eux.

Par ailleurs, la Directive Vie prive et communications lec-


troniques de 2002 tablit galement le traitement des mes-
sages de marketing non sollicits, que ce soit par tlphone,
par tlcopie, par e-mail ou par courrier. Si vous dsirez
passer des appels tlphoniques, envoyer des tlcopies
ou des e-mails automatiss, vous devez obtenir le consente-
ment du souscripteur, bien que les e-mails soient autoriss
si ladresse a t reue dans le cadre dune relation com-
merciale. Cette Directive de la Commission Europenne (CE)
permet au consommateur de refuser dtre contact. Elle rgit
galement lemploi des cookies, ces petits fichiers placs sur
le systme des utilisateurs lorsquils visitent un site Internet.

Traitement lgal du personnel


Les responsabilits des entreprises envers leurs employs
sont traites dans un vaste ensemble de rglementations,
notamment:

Loi Informatique et Liberts de 1978


Directive Vie prive et communications lectroniques
de 2002
Loi sur le secret des correspondances mises par la voie
des communications lectroniques de 1991qui limite
linterception des tlcommunications
Chapitre 1: valuer les menaces pour la scurit 17
Les Droits de lHomme, tels qutablis dans la Dclaration
des Droits de lHomme et du Citoyen de 1789 et dans la
Convention Europenne des Droits de lHomme
Larticle 226-1 du Code Pnal qui interdit linterception des
communications des employs sans leur consentement.

Chaque texte aborde un aspect spcifique, mais le grand


principe de base est la confidentialit des contrats entre
lorganisation et lemploy, et la scurisation des donnes
personnelles.

Un certain nombre de directives europennes supplmen-


taires et de rglementations locales sont actuellement en
phase dexamen, y compris des directives sur lutilisation
inapproprie des informations sur le personnel.

La rponse de lindustrie
de la scurit
Dans les premiers temps de la scurit informatique, les
fournisseurs privilgiaient le domaine des logiciels antivirus
et des pare-feux. Mais ce secteur commence aujourdhui
slargir car les entreprises se rendent compte quelles ont
besoin dune dfense coordonne contre les attaques mettant
mal la scurit de leurs informations.

Les pare-feux et les technologies de lutte contre les pro-


grammes malveillants sont devenus plus sophistiqus et ont
t regroups dans des suites logicielles, intgrant dautres
fonctionnalits comme les programmes antispam et anti-
logiciel espion. La scurit des Terminaux, axe exclusivement
sur les ordinateurs ou autres dispositifs utiliss au niveau de
lutilisateur final, se voit complte par certaines capacits de
la scurit de la passerelle (la scurit place devant la connex-
ion Internet) en vue de bloquer spcifiquement les menaces du
Web avant quelles natteignent leurs cibles. La nouvelle ten-
dance consiste instaurer une protection en couche, la fois
au niveau de la passerelle Internet et des terminaux.

Lmergence des services de scurit hbergs est un autre


dveloppement bienvenu pour les petites entreprises. Ils
rduisent les frais informatiques, la fois en termes de
18 Scurit Informatique Pour les Nuls

matriel et de gestion, et ils sont plus fiables car les lments


de la solution scuritaire sont hbergs sur les serveurs du
fournisseur de scurit. Nous aborderons ce sujet plus en
dtail dans le prochain chapitre.

Vous pensez peut-tre avoir besoin de solutions de scurit


installes sur site, mais beaucoup dentreprises utilisent
dsormais des services hbergs sous la forme de Webmail,
ou encore des logiciels de gestion de la relation client (GRC,
ou CRM en anglais). Ne sous-estimez pas lutilit du service
de scurit hberg: les entreprises qui dveloppent les
logiciels sont les mieux places pour les grer, et elles dispo-
sent de capacits de traitement que vous ne pouvez mme
pas imaginer.

Le modle de facturation lutilisation permet galement


de prvoir le cot mensuel pour votre bilan sans avoir vous
inquiter du cot des mises jour futures au fil de lvolution
de la scurit informatique.
Chapitre 2

Initier une politique


de scurit
Dans ce chapitre
Comprendre la ncessit dune politique de scurit
Connatre les normes et les pratiques dexcellence
Grer la scurit
Appliquer des contrles techniques

A prs avoir reconnu les menaces et adopt les principes


dune bonne scurit informatique (voir Chapitre 1),
votre prochaine question pourrait bien tre: par o
commencer? Si vous avez dj valu la nature des risques
auxquels votre entreprise est expose, la premire tape
consiste tablir une politique de scurit pour votre
entreprise et la communiquer vos employs.

Ensuite, vous devez rflchir la mthode dapplication


de cette politique, notamment la technologie dj en place
pour contrler les risques scuritaires, et aux ventuelles
failles que vous devez combler. Cependant, la technologie
nest quune partie de la solution, qui englobe galement les
individus, les procdures et les politiques.

Ce chapitre aborde galement les diffrentes pratiques


dexcellence que les entreprises peuvent utiliser et ce que
nous pouvons en apprendre.
20 Scurit Informatique Pour les Nuls

Formuler une politique


de scurit
La politique de scurit dune entreprise est la fondation
sur laquelle repose une bonne scurit informatique.
Une politique de scurit est une dclaration dintention
concernant les mthodes envisages pour protger vos actifs
numriques et surveiller lorganisation. Elle reprsente un
rfrentiel dinformations central pour la gestion, le personnel
et les tiers, et regroupe tout, des processus et procdures
une description des mesures techniques en place et des
mthodes de reprise sur sinistre, en passant par les fonctions
et responsabilits des employs.

Votre politique de scurit doit sappuyer sur lanalyse des


risques mentionne dans le chapitre prcdent et sur une
connaissance des menaces les plus srieuses auxquelles vous
tes confront.

Pour quelle fasse autorit, une politique de scurit doit


tre approuve par la direction suprieure et rvise quand
les circonstances changent. Nul besoin dentrer dans les
dtails sur chaque sujet. Considrez la politique de scurit
comme un plan daction qui dcrit dans les grandes lignes
les informations critiques de la socit et les mthodes de
protection de celles-ci.

Il vaut mieux adopter une approche par couches pour


composer une politique de scurit en commenant par
noncer une mission de haut niveau, puis en approfondissant
avec les appareils physiques, les fonctions et les
responsabilits du personnel, en intgrant notamment des
rfrences lusage acceptable, la gestion des incidents, etc.
Elle permet galement de prciser les plans de continuit des
affaires et de reprise aprs sinistre.

lments intgrer
Si les politiques de scurit varient dune entreprise lautre,
elles doivent nanmoins toujours comprendre les lments
suivants:
Chapitre 2: Initier une politique de scurit 21
Une explication claire des principes de la politique,
notamment les objectifs finaux et limportance
stratgique de la scurit de linformation pour
lentreprise.
Une dclaration de soutien de la direction suprieure,
dmontrant son engagement envers la scurit de
linformation.
De la formation pour permettre aux employs de
comprendre la scurit de linformation et les risques.
Une explication sur les normes de scurit minimales
mettant laccent sur les procdures suivre dans les
domaines particulirement importants pour lentreprise.
Chaque politique de scurit devrait notamment
aborder les prcautions lmentaires en matire de
virus informatiques, les directives sur le comportement
adopter sur Internet, et les instructions pour crer des
mots de passe.
Des dfinitions des fonctions et responsabilits au sein
de lentreprise en matire de scurit de linformation.
Les procdures adopter concernant les incidents de
scurit: dclaration, traitement et rsolution.
Les plans de continuit des affaires qui expliquent
comment lentreprise peut continuer fonctionner en
cas de panne due une catastrophe comme un incendie
ou une inondation.
Des rfrences aux documents de support, comme les
politiques du personnel, les procdures, les directives ou
les spcifications et normes sur la scurit. Par exemple,
si vous dsirez expliquer en dtail la politique Internet,
vous pouvez inclure:
Lutilisation dInternet par lentreprise et les
menaces associes
Les services Internet qui peuvent tre utiliss et
ceux qui sont interdits
La personne qui autorise les connexions Internet
La personne responsable de la scurit
informatique
Les normes, directives et pratiques suivre.
22 Scurit Informatique Pour les Nuls

La protection des mots de passe est souvent lun des


maillons faibles de la chane de scurit dune entreprise
car les utilisateurs notent leurs mots de passe sur un post-it
coll ct de leur machine ou conservent le mot de passe
par dfaut. Votre politique de scurit doit les mettre en
garde contre ce type de comportement risqu et tablir des
protocoles scuriss pour la protection des mots de passe.

Par ailleurs, il peut tre souhaitable dtablir une politique


dutilisation acceptable au sein de la politique de scurit. Elle
prcisera ce que lentreprise considre comme acceptable et
inacceptable.

Vous pouvez intgrer des politiques dutilisation acceptable


distinctes pour laccs Internet, pour les e-mails et
pour lutilisation de tous les actifs informatiques de votre
entreprise. Nous aborderons les politiques dutilisation
acceptable de faon plus dtaille dans la section suivante.

Ne vous lancez pas dans des descriptions minutieuses


des politiques et procdures applicables chaque actif
informatique. Une politique de scurit vise essentiellement
faire comprendre aux employs les objectifs principaux,
les raisons de linstauration de certaines mesures et les
consquences dune infraction.

Dfinir lutilisation acceptable


La protection de vos actifs informatiques commence par
les employs qui vous devez communiquer des directives
claires sur lutilisation acceptable, la confidentialit et les
normes de scurit. Une politique dutilisation acceptable
stipule ce qui est autoris et ce qui est interdit pendant les
heures de travail et en utilisant les ordinateurs de lentreprise,
et explique les rpercussions du non-respect de cette
politique.

Sans directive claire, les employs peuvent exposer


lentreprise des programmes malveillants, partager des
informations confidentielles sur Internet ou faire sortir de
lentreprise des informations sensibles sur des ordinateurs
portables ou des cls USB.
Chapitre 2: Initier une politique de scurit 23
Les politiques dutilisation acceptable peuvent sembler
draconiennes, mais, tant quelles tablissent un quilibre
entre pragmatisme et contrle et que lentreprise
communique clairement les risques quelle tente dviter, les
employs comprendront son importance. Vous pouvez mme
intgrer les employs dans le processus de conception de
ces politiques, obtenant ainsi leur adhsion ds le premier
jour, et les encourager communiquer leur opinion sur le
fonctionnement ou non de certaines restrictions.

En liant les politiques dutilisation acceptable aux contrats


des employs et aux procdures disciplinaires, vous les
intgrez pleinement dans la culture de lentreprise.

Naviguer sur Internet sans mettre en danger lentreprise


Vos employs ont besoin dInternet dans leur travail. Il arrive
cependant quInternet fasse diminuer la productivit et
expose votre entreprise des menaces.

Dans une politique Internet, vous pouvez inclure ce qui suit:

Les dlais acceptables et inacceptables dune utilisation


prive dInternet. Vous pouvez notamment interdire aux
employs daller sur Facebook pendant les heures de
travail.
Les types de contenu interdit (pornographie, obscnit,
haine raciale, etc.).
Les mthodes de gestion des informations
confidentielles: ne pas les partager en dehors du rseau
priv de lentreprise par exemple.
Les mthodes de traitement des biens de lentreprise,
comme les ordinateurs portables.
Les directives sur le tlchargement et linstallation de
logiciels.
Les directives sur la scurit, comme les rglages de
scurit des navigateurs.
Une interdiction sur le partage et le tlchargement de
documents protgs par des droits dauteur.
Les informations dtailles sur toute activit de
surveillance mise en place par lentreprise.
Les consquences dun non-respect de cette politique.
24 Scurit Informatique Pour les Nuls

Comment faire appliquer cette politique? Un programme


de filtrage des sites Internet peut permettre dviter ou de
dtecter certains problmes.

Modle dune politique dutilisation


acceptable
Ce texte tablit une politique Utiliser lordinateur pour
dutilisation acceptable pour perptrer une fraude quelconque
Internet. Vous pouvez le copier et ou un piratage de logiciel, de film
ladapter vos besoins. ou de musique
Lutilisation dInternet par les Utiliser Internet pour envoyer
employs de [nom de lentreprise] des documents offensants ou
est autorise et encourage quand harceler dautres utilisateurs
une telle utilisation soutient les
Tlcharger un logiciel
buts et objectifs de lentreprise.
commercial ou tout document
Toutefois, [nom de lentreprise]
protg par des droits dauteur
a instaur une politique quant
qui appartient des tiers, sauf si
lutilisation dInternet selon laquelle
ce tlchargement est couvert
les employs doivent sassurer de:
ou autoris par un accord
Respecter la lgislation en commercial ou toute autre
vigueur licence
Utiliser Internet de manire Pirater des zones non autorises
acceptable
Publier des documents
Ne pas crer de risques inutiles diffamatoires et/ou sciemment
pour lentreprise par une mensongers propos de [nom
mauvaise utilisation dInternet. de lentreprise], de vos collgues
et/ou de nos clients sur des sites
Comportement inacceptable
de rseau social, des blogs
Les points suivants sont en particulier (journaux en ligne), des sites
considrs comme une utilisation ou Wiki (forums de discussion en
un comportement inacceptable des ligne) et sous tout autre format
employs: de publication en ligne
Visiter des sites Internet Entreprendre dlibrment des
qui contiennent des activits qui visent gcher
documents obscnes, haineux, les efforts du personnel ou les
pornographiques ou autre ressources du rseau
contenu illicite
Chapitre 2: Initier une politique de scurit 25

Introduire un logiciel malveillant sera pas contrl sauf en cas de


sous quelque forme que ce soit suspicion dutilisation inapproprie.
sur le rseau de lentreprise.
Sanctions
Informations de lentreprise
Si un employ est suspect davoir
dtenues sur des sites Internet tiers
enfreint la prsente politique, il sera
Si vous produisez, collectez et/ soumis la procdure disciplinaire
ou traitez des informations de lentreprise. Sil est prouv que
commerciales pendant votre travail, lemploy a enfreint la politique,
lesdites informations restent la une sanction disciplinaire sera prise
proprit de [nom de lentreprise]. qui peut aller dun avertissement
Ces informations regroupent les oral un licenciement. La sanction
donnes stockes sur des sites rellement applique dpendra
Internet tiers, notamment des de certains facteurs comme la
fournisseurs de service de-mail et gravit de linfraction et le dossier
des sites de rseau social comme disciplinaire de lemploy.
Facebook et Linkedln.
Note: les procdures disciplinaires
Contrle doivent tre spcifiques votre
entreprise et reflter vos procdures
[nom de lentreprise] reconnat
oprationnelles et disciplinaires
quInternet est un outil commercial
normales. Crez des procdures
important. Toutefois, une mauvaise
disciplinaires ds le dbut et
utilisation de cet outil peut avoir un
intgrez-les dans votre politique
impact ngatif sur la productivit
dutilisation acceptable.
des employs et la rputation de
lentreprise. Acceptation
Par ailleurs, toutes les ressources Tous les employs, sous-traitants
de lentreprise associes Internet ou personnel temporaire de
sont fournies pour des raisons lentreprise qui ont obtenu le
commerciales. Par consquent, droit dutiliser laccs Internet
lentreprise se rserve le droit de de lentreprise ont lobligation de
contrler le volume du trafic Internet signer le prsent accord, confirmant
et du rseau, conjointement aux quils comprennent et acceptent la
sites Internet visits. Le contenu prsente politique.
spcifique de toute transaction ne
26 Scurit Informatique Pour les Nuls

Politique sur les e-mails


Le-mail est devenu la principale mthode de communication
commerciale. Vous devez donc faire connatre vos
employs les procdures de scurit et vous assurer quils les
respectent. Parmi les problmes aborder:

Utilisation dune mise en garde dans les e-mails (ce


message est priv et ne reprsente pas lopinion de
lemployeur...).
Directives sur louverture et la visualisation des pices
jointes aux e-mails.
Directives supplmentaires, le cas chant, en rapport
avec la Loi Informatique et Liberts
Mthodes de gestion des informations confidentielles
envoyes par e-mail et les circonstances dans lesquelles
les e-mails doivent tre crypts en accord avec les
directives de lentreprise.

Assurer le fonctionnement
de la politique
De trop nombreuses politiques de scurit prennent la
poussire sur une tagre ou restent sur un disque dur; elles
sont ngliges, impopulaires et, surtout, inappliques. Pour
quune politique de scurit produise un effet, elle doit tre
un document vivant auquel la direction et les employs ont
accs et peuvent se rfrer.

De plus, vous devez vous assurer de faire connatre et de


faire comprendre la politique de scurit vos employs, la
direction suprieure de votre entreprise montrant clairement
quelle prend cette politique au srieux en assurant sa
pertinence et sa mise jour constantes.

Les convenances sociales sur lutilisation acceptable peuvent


facilement voluer au fur et mesure que les services Internet
disponibles arrivent maturit et changent. Il est donc
ncessaire dtablir une analyse priodique de votre politique
de scurit afin quelle reste pertinente: un document au
format dun navigateur Internet que lentreprise nutilise plus
rend lensemble de la politique moins efficace.
Chapitre 2: Initier une politique de scurit 27

Normes et pratiques dexcellence


La norme ISO/IEC 27001 est une rfrence incontournable
en matire de gestion de la scurit de linformation. Cette
norme vous permet de profiter dannes de rflexion et
dexprience pratique sur la meilleure mthode adopter
pour tablir et grer un systme de gestion de la scurit de
linformation. Pour plus dinformations, veuillez consulter le
site www.bsigroup.fr/fr/Services-daudit-et-de-
certification/Systemes-de-management/Normes-et-
programmes/ISOIEC-27001/.

La certification du systme de gestion dune socit est


probablement trop onreuse pour la plupart des petites
entreprises sauf si vous oprez dans un secteur o vous
souhaitez prouver vos clients vos rfrences en matire de
scurit de linformation. Mais tout un chacun peut profiter
des exigences de cette norme, dont la plupart sont abordes
dans ce livre.

Si vous cherchez de laide pour la cration dune politique et


dun systme de scurit informatique, Trend Micro (www.
trendmicro.com) propose un ventail de ressources.

Grer la politique de scurit


Aprs avoir tabli la politique de scurit de votre entreprise
en fonction dune valuation des menaces auxquelles vous
tes confront, vous devez dfinir la procdure de gestion de
la scurit. Elle incombe diffrentes personnes et ncessite
diffrentes politiques, procdures et technologies, chacun de
ces lments jouant un rle essentiel pour assurer la scurit
globale.

Plus les machines clientes qui quipent votre entreprise


sont nombreuses, plus la configuration de votre rseau est
complexe, et plus la scurit informatique devient difficile
assurer. Cela tant dit, la plupart des petites entreprises
nont pas besoin dembaucher du personnel supplmentaire
pour grer les systmes de scurit informatique. En gnral,
elles attribuent ces responsabilits aux directeurs existants
et ventuellement un conseiller externe, fournisseur de
services informatiques.
28 Scurit Informatique Pour les Nuls

Si vous faites appel un conseiller externe pour crer votre


systme de scurit, assurez-vous que ce conseiller transmet
des rapports par le biais de la hirarchie existante. Ne laissez
pas votre scurit entre les mains dun tranger.

Un conseiller sur la scurit informatique va crer un registre


des actifs qui mentionne tous les actifs informatiques que
possde lentreprise (ordinateurs, routeurs, disques durs
externes) et enregistre les normes et les procdures utilises
par lentreprise pour leur assurer la plus grande scurit
possible. Ce registre des actifs prend toute son importance
quand vous modifiez les composants de votre configuration
informatique. En cas dincident, il peut vous aider trouver
lorigine du problme.

Une planification pralable est essentielle pour tablir un


systme de scurit de linformation, en imaginant les pires
scnarios et les solutions de reprise. En outre, il est beaucoup
plus facile de planifier un incident avant quil ne survienne
plutt que dattendre dtre au cur de la tempte pour
tenter davoir accs aux bonnes ressources pour restaurer les
systmes, afin que le personnel puisse reprendre le travail.

Rle des contrles techniques


Le rle de la technologie commence avec les actifs
informatiques que vous avez identifis, puis passe aux
systmes de protection dont vous disposez.

Pour sattaquer la conception de systmes de protection et


de reprise efficaces, posez-vous les questions suivantes:

Qui est charg dassurer la mise jour des systmes et


lapplication des correctifs pour viter toute attaque?
Qui soccupe des licences des logiciels que vous utilisez?
Comment grez-vous la sauvegarde des donnes?
Vrifiez que les tches sont spares. Ainsi, toute la
charge nincombera pas une seule personne et vous
serez toujours protg si cette personne est malade ou
en cong.
Chapitre 2: Initier une politique de scurit 29
Comment contrlez-vous laccs lquipement et
aux donnes de la TI? Comment vous assurez-vous
que le personnel respecte vos politiques, notamment
la navigation sur Internet? Comptez-vous sur leur
honntet pour quils respectent les rgles? Ou
instaurez-vous des technologies de filtrage appropries?
Disposez-vous dune procdure pour vous assurer que
les modifications apportes au matriel et aux logiciels
ne dgradent pas les politiques de scurit dj en
place?
Avez-vous tabli un plan de reprise aprs sinistre?
Quelles mesures avez-vous instaures pour reprendre les
activits aprs un incident grave comme un incendie ou
une coupure du rseau?
Quelle est votre politique sur lutilisation par les
employs de leur propre quipement informatique et
le transfert des donnes lextrieur et lintrieur de
lentreprise?

Certaines questions de cette liste peuvent tre rsolues


laide de solutions automatises qui allgent les tches
administratives pour le personnel. Par exemple, vous pouvez
utiliser la gestion des identits pour protger le contrle
daccs, en remettant des jetons de scurit au personnel
qui se connecte au rseau de lentreprise. Vous aurez
probablement install des filtres antispam pour vos e-mails.
Les mises jour des programmes anti-logiciels espions seront
certainement automatises dans une certaine mesure.

Vous pouvez bloquer des domaines particulirement


sensibles de larchitecture informatique laide de pare-feux.
Vos plans de continuit des affaires peuvent inclure une
sauvegarde automatique vers un magasin de donnes en ligne
scuris. Et vous pouvez employer le cryptage automatique
des donnes ds quelles quittent lentreprise. Vous pouvez
galement mettre en uvre une solution de filtrage des
URL (adresse dune ressource du Web) et des sites Internet
pour permettre au personnel davoir accs uniquement aux
sites Internet adapts au travail quils doivent effectuer,
en rduisant non seulement les failles de scurit, mais en
augmentant galement la productivit du personnel. Sils ne
peuvent aller sur MySpace, ils ne peuvent pas perdre leur
temps actualiser leurs profils.
30 Scurit Informatique Pour les Nuls

Sous-traitance des fonctions de


scurit La solution hberge
La gestion de la scurit ne doit pas se traduire par une tche
technique. Cest l que lhbergement entre en jeu, quand
le fournisseur informatique gre le logiciel pour le compte
du client, en fournissant en gnral un accs via Internet.
La scurit hberge ne convient pas tous les secteurs,
mais elle fonctionne trs bien dans deux domaines que nous
explorons dans les sections suivantes.

Scurit hberge de la
messagerie lectronique
Protger lentreprise contre les spams est une mthode
vidente pour attnuer les frais dadministration.

Environ 95% des e-mails envoys dans le monde sont des


spams. Rgler ce problme peut donc accaparer les employs,
rduire la productivit et occuper la bande passante du
rseau et lespace de stockage. Le spam est galement trs
utilis pour diffuser des programmes malveillants, soit par le
biais de-mails dhameonnage contenant des liens vers des
sites Internet compromis, soit en intgrant des pices jointes
douteuses.

Les systmes de scurit hbergs filtrent les e-mails avant


quils natteignent le rseau, vitant une perte de temps
pour le personnel informatique et lutilisateur final, et un
gaspillage du matriel et des ressources du rseau. Ils librent
votre bande passante et rduisent limpact sur le serveur de
messagerie car les spams ne parviennent jamais jusqu votre
entreprise.

Un mot davertissement sur la scurit hberge des e-mails.


La seule chose qui est pire que de tenter de rcuprer un
e-mail que votre filtre a dfini par erreur comme un spam,
cest de ne pas raliser que vous avez reu cet e-mail en
premier lieu. Il peut sagir dun message important comme
une proposition daffaires. Vous devez vous assurer que le
fournisseur de scurit hberg que vous choisissez a un
bon taux (faible) en matire de faux positifs: des e-mails
Chapitre 2: Initier une politique de scurit 31
quil considre comme des spams, mais qui nen sont pas
en ralit. Le fournisseur peut mme proposer un accord de
niveau de service en fonction dun faible taux de faux positifs.
Ainsi, vous pouvez obtenir un ddommagement financier si le
taux de faux positifs dpasse la limite convenue.

Scurit hberge des terminaux


La gestion de la scurit des terminaux (la protection de
multiples ordinateurs, portables, serveurs de fichiers et autres
appareils des utilisateurs) est un autre domaine dans lequel
la scurit hberge peut galement profiter lentreprise.
La plupart de ces systmes sont vendus avec des solutions
de scurit informatiques prinstalles, destines aux
particuliers. Cependant, il faut savoir que non seulement ces
produits sont conus pour une utilisation domestique, sans les
fonctions ncessaires un environnement commercial, mais
quils doivent galement tre grs sparment.

En effet, des dates dexpiration et des licences diffrentes,


ainsi que divers rglages de configuration, impliquent que
votre administrateur systme doit tre capable de matriser
plusieurs types de produits. Plus important: ils impliquent
une protection instable dune machine lautre. Dans
certains cas, les utilisateurs peuvent grer les produits de
leurs propres ordinateurs et ne pas installer des mises jour
essentielles, exposant inutilement votre entreprise des
menaces. Et quand ils emportent leurs portables la maison,
la gestion de la scurit devient totalement incontrlable.

Une bonne solution pour rsoudre ce cauchemar


administratif, en particulier pour les petites entreprises,
consiste choisir une solution de scurit informatique
hberge. Elle est facile appliquer sur de multiples
machines, lutilisateur pouvant en un simple clic tlcharger
la protection pour son ordinateur qui sera oprationnelle
au bureau et la maison. Vous navez pas besoin de grer
un serveur de scurit, et chacun dispose dune protection
constante, jour et sophistique.

Ce type de solution vous permet galement davoir une vue


centrale de la gestion par le biais dune console hberge
sur Internet qui permet de voir ltat de chaque machine, les
menaces qui ont t dtectes, etc.
Chapitre 3

tablir une dfense


coordonne
Dans ce chapitre
Concevoir des systmes de scurit pour protger vos systmes
Rflchir une protection physique
duquer les employs

L a robustesse de la scurit ne dpend pas dune


technologie ou dune discipline particulire; il sagit
dune combinaison de mesures qui protgent vos systmes
contre les attaques. Certaines que vous avez probablement
depuis plusieurs annes, dautres que vous ne connaissez
pas. Mais elles sont toutes dimportance gale pour crer une
protection globale.

La plupart des entreprises nont pas de dfense coordonne


contre les menaces informatiques, incluant des contrles
techniques intgrs qui permettent de faire appliquer au
plus haut niveau les mesures convenues. Vous pouvez
disposer dune protection extrmement efficace dans certains
domaines, comme un pare-feu dentreprise qui bloque le
moindre lment suspect et lempche de pntrer ou de
quitter lentreprise. Dans dautres secteurs, les utilisateurs
sont protgs par des solutions pour particuliers, comme
les logiciels antivirus prinstalls sur les ordinateurs. Mais
si ces lments ne sont pas tous coordonns, notamment
par des contrles sur les droits dannulation des rglages du
pare-feu et par une console centrale de gestion de la scurit
(hberge ventuellement par le fournisseur de support
informatique pour les petites entreprises), vos mesures de
scurit non coordonnes peuvent vous donner une fausse
impression de scurit.
Chapitre 3: tablir une dfense coordonne 33
Ce chapitre prsente chacun de ces domaines en dtail. Nous
ne cherchons pas fournir une explication exhaustive sur
un lment quelconque, mais plutt prsenter une vision
globale et une comprhension de leur assemblage.

Contrle daccs
Les systmes de contrle daccs contrlent lidentit relle
des utilisateurs qui ont accs vos systmes, vrifient que
les tches quils ralisent sont autorises, les empchent
dinfecter vos systmes avec des virus et autres programmes
malveillants, et de voler des informations confidentielles ou
dy accder. Les outils daccs regroupent des systmes pour
lauthentification, la gestion des identits, les autorisations,
les noms dutilisateurs et les mots de passe.

Sans contrle daccs, un pirate peut trs facilement


sintroduire dans une organisation. Mais si vous ntes pas
une socit de ngociation de marchandises de haute valeur,
nen faites pas votre proccupation majeure.

Dlimiter le primtre
Les directeurs de la TI et des transactions consacrent
normment de temps et dnergie riger de grandes
barrires autour de leurs systmes informatiques. Ils achtent
des pare-feux et des systmes de prvention dintrusion et,
dans certains cas, configurent des rseaux privs virtuels afin
que les utilisateurs puissent se connecter en toute scurit
aux systmes de lentreprise quand ils ne sont pas au bureau.

Cependant, la consolidation du primtre constitue


uniquement la dfense la plus loigne, et aucun primtre
informatique nest impermable. Il y aura toujours des failles
dans ces dfenses, comme le port HTTP (80) quun serveur
Web utilise.

Vrifier lidentit lentre


Si vous rigez des dfenses considrables, comme des pare-
feux et autres dispositifs similaires, vous devez vous assurer
que les personnes que vous laissez entrer ne sont pas des
pirates dguiss.
34 Scurit Informatique Pour les Nuls

Cest l quintervient le contrle daccs. Cest lquivalent de


Qui va l? avant de baisser le pont-levis.

Le contrle daccs na pas besoin dtre compos de


biomtries complexes, comme un lecteur dempreinte
rtinienne et manuelle, bien que ces mthodes deviennent
de plus en plus courantes dans les grandes entreprises.
Toutefois, la plupart des petites entreprises adoptent une
approche plus pragmatique, et abordable, pour grer les
identits.

Aujourdhui, les noms dutilisateurs et les mots de passe sont


les cls qui ouvrent les portes du royaume informatique. Vous
avez besoin de ces deux lments pour accder la machine
que vous souhaitez utiliser, deux autres pour aller sur le
rseau de lentreprise, deux autres pour des applications
particulires comme le systme de comptabilit, et peut tre
mme deux autres pour un secteur de donnes sensibles de
lentreprise. Cest a le contrle daccs.

videmment, vous devez toujours vrifier que, si une


personne se connecte lentreprise de lextrieur, elle ne
sest pas appropri le nom dutilisateur de quelquun dautre.
Mme une personne lintrieur de lentreprise peut tenter
de regarder quelque chose qui ne la concerne pas, comme le
salaire et les avantages du patron.

Lauthentification de lidentit dun utilisateur repose


habituellement sur quatre facteurs:

Quelque chose quil connat: un mot de passe ou NIP


(numro didentification personnel ou PIN)
Quelque chose quil a: une carte puce intelligente ou
un jeton de scurit
Quelque chose quil est: une personne avec une
empreinte rtinienne ou manuelle
Un emplacement connu: lintrieur des locaux de
lentreprise.

La protection dune entreprise est dun bon niveau si chaque


utilisateur peut passer deux de ces quatre tests. Aprs tout,
votre banque vous fait confiance pour retirer de largent avec
une carte et un code. Exiger trois des quatre tests indique que
votre systme est par lpreuve des balles.
Chapitre 3: tablir une dfense coordonne 35

Choisir et prserver les bons


mots de passe
tant donn que les noms Ncrivez pas les mots de passe
dutilisateurs et les mots de ou ne laissez pas des papiers
passe reprsentent le niveau le ct de la machine utilise pour
plus fondamental de la scurit laccs.
informatique, il est important
Ne laissez jamais les rglages
dencourager tous les employs
usine pas dfaut. Lutilisation du
choisir des mots de passe difficiles
terme mot de passe comme
pirater. Voici une liste de rgles
mot de passe est bien trop facile
suivre:
craquer.
Une association de lettres
Nutilisez pas des donnes
majuscules et minuscules, et de
personnelles faciles deviner,
chiffres
comme le nom de votre premier
Une longueur de huit caractres enfant ou de votre animal
ou plus. domestique.
Vous devez galement vrifier que Ne communiquez jamais
chaque utilisateur protge ses votre mot de passe un tiers,
mots de passe. Quelques mesures mme une personne de votre
lmentaires de prcaution: entreprise. Seul ladministrateur
informatique doit avoir accs
ces donnes.

Limiter les actions


Aprs stre identifis et authentifis, les utilisateurs peuvent
avoir besoin de passer une autre tape dautorisation
pour dfinir les actions quils peuvent entreprendre: sont-
ils autoriss modifier des fichiers ou simplement les
visualiser?

Dans une entreprise, vous pouvez configurer laccs en


fonction des postes, de la mme manire que vous le feriez
pour approuver des dpenses. Si vous tes le directeur
des ressources humaines (DRH), vous pouvez visualiser et
modifier les informations sur les employs; si vous tes juste
un employ du service RH, vous pouvez visualiser les fichiers
sans avoir le droit de les modifier.
36 Scurit Informatique Pour les Nuls

Quand le DRH part en vacances ou quune autre personne


reprend ses fonctions, celle-ci bnficie des mmes droits
daccs aux archives RH.

Scuriser vos tlphones et


vos rseaux informatiques
La scurit du rseau ou de la passerelle Internet fait lobjet
de nombreux dbats. Toutefois, certaines entreprises ne
prennent pas en compte le fait quelles nont pas un seul
rseau protger, mais plusieurs. Conjointement au rseau
Internet, vous avez le rseau tlphonique, un intranet et
parfois un extranet. De plus, vous disposez probablement
dun rseau sans fil (WIFI), et ventuellement dun rseau
priv virtuel (RPV) ou dune autre mthode pour permettre
aux employs extrieurs dappeler.

Chaque rseau dispose probablement dun certain niveau


de scurit associ. Mais est-ce le bon niveau? Cest
linterconnexion de ces diffrents rseaux qui rend le paysage
si complexe. Par le pass, quand votre connexion rseau
tombait en panne, vous preniez le tlphone et continuiez
travailler ainsi. Mais si vous avez un systme Voix sur IP (VoIP)
qui fait fonctionner le service tlphonique par le biais de votre
connexion Internet, vous perdez galement ce service.

Protger vos rseaux


tlphoniques
Les services tlphoniques ordinaires (STO) et, en particulier,
les commutateurs privs (PBX) ont toujours fait lobjet dun
piratage et prsent un risque dcoute tlphonique. Mais
rares taient les criminels qui avaient les comptences ou les
techniques pour orchestrer de telles attaques.

De nos jours, la plupart des entreprises transfrent cependant


leurs rseaux tlphoniques sur le VoIP, pour profiter
dconomies considrables sur les factures tlphoniques
et des capacits de partager le mme rseau que celui des
donnes, rduisant ainsi les cots dinfrastructure et la gestion.
Chapitre 3: tablir une dfense coordonne 37
Le VoIP est plus facile pirater ou perturber car
il fonctionne sur le mme rseau que les systmes
informatiques. Les systmes VoIP peuvent tre ouverts :

La fraude: un cybercriminel pntre sur vos systmes


VoIP et passe de nombreux appels vers des numros
revenus partags, vous laissant rgler la facture.
Les attaques par saturation: comme pour les sites
Internet, un cybercriminel tente de mettre mal votre
service tlphonique et dempcher quiconque de
lutiliser.
Les attaques par spams et hameonnage: nouveau,
tout comme les systmes informatiques, les ordinateurs
de synthse de la parole appellent constamment de
nombreux numros dans lespoir quune personne
dcroche le tlphone et soit incite faire un achat
frauduleux ou gaspiller son temps rpondre un
appel bidon.

Le fait que vous utilisiez des protocoles Internet indique


que vous pouvez adopter la mme protection que vous le
feriez pour les systmes informatiques. Toutefois, prenez en
compte le risque associ une panne de tlphone et dcidez
si vous souhaitez isoler votre systme VoIP de vos systmes
informatiques.

Protger vos rseaux sans fil


Avec la premire gnration de connexions sans fil, les
utilisateurs se sont montrs trs ngligents en matire de
scurit des routeurs et des points daccs, en partie car cette
procdure tait dcrite comme complexe, mais galement par
un manque de connaissance des risques.

Aujourdhui, vous devez savoir que les connexions sans fil


WIFI impliquent des risques de scurit isols qui leur sont
propres. Ces derniers entrent dans plusieurs catgories:

Accs califourchon: dautres utilisateurs sinvitent sur


votre connexion pour avoir accs Internet, rduisant la
performance et disposant dun accs complet au rseau
et ses ressources. Ce problme survient quand aucune
mesure dauthentification ou de cryptage nest active.
38 Scurit Informatique Pour les Nuls

Mystification de ladresse MAC: les pirates obtiennent


ladresse MAC (contrle daccs au support) de votre
rseau et lutilisent pour accder au trafic rseau et
lintercepter.
Attaque par saturation: un cybercriminel empche les
utilisateurs lgitimes daccder au rseau sans fil.
Attaque de lhomme du milieu: un pirate cre un point
daccs factice partir duquel il peut lire lensemble de
votre trafic et insrer des communications factices, mais
dapparence relle.

Lancienne norme pour la scurit sans fil a dsormais t


remplace par la protection WPA et WPA2 (Wi-fi Protected
Access). Tant que vous configurez votre systme avec des
mots de passe scuriss que vous protgez, les connexions
de votre rseau devraient tre suffisamment protges. Les
cryptages WPA et WPA2 authentifient les utilisateurs pour
vrifier que leur accs est autoris, et ils encryptent les
donnes transmises entre lutilisateur et le rseau.

Mieux encore, les fabricants dquipement ont rellement


simplifi la configuration de ce protocole de scurit. Il vous
suffit donc de suivre quelques tapes simples pour scuriser
votre rseau sans fil.

Protger vos rseaux


informatiques
Les rseaux informatiques des petites entreprises ont
toujours t ouverts aux attaques et les mesures de scurit
sont en gnral assez efficaces. Selon certaines estimations,
80 90% des entreprises ont investi dans des pare-feux, et
50 60% dans des systmes de dtection et de prvention
dintrusion. Lintgration de cette technologie dans les
systmes dexploitation Microsoft a encore augment ce
nombre.

Un pare-feu empche un accs non autoris au rseau, tandis


quun systme de dtection / prvention dintrusion contrle
lactivit du rseau la recherche dun comportement
malveillant ou anormal, et ragit pour linterrompre.
Chapitre 3: tablir une dfense coordonne 39
Malheureusement, avec les technologies de scurit
informatique, quand vous bloquez vos ordinateurs afin
que votre entreprise soit totalement scurise et que vous
prenez chaque alerte pour une tentative de piratage, vous
pouvez empcher lentreprise de fonctionner normalement.
Adoptez lattitude extrme inverse et il devient presque
inutile dinstaller cette technologie. Lastuce consiste
essentiellement shabituer aux capacits de la technologie,
et les fabricants de ces produits simplifient les choses pour
les administrateurs de rseaux.

Les pare-feux des rseaux et les systmes de dtection /


prvention dintrusion sont de plus en plus regroups et
associs des capacits supplmentaires sur un dispositif de
gestion unifie des menaces (UTM). Ils reposent souvent sur
des units autonomes matrielles quune petite entreprise
peut littralement acheter, brancher et laisser travailler dans
leur coin.

Une entreprise dont certains utilisateurs dsirent se connecter


distance au rseau du bureau, ou une entreprise cherchant
connecter des bureaux satellites un rseau principal,
peut configurer un rseau priv virtuel (RPV) qui emploie
diffrentes mthodes pour tablir une connexion scurise.
laide dun ventail de protocoles de scurit, en gnral
une extension de scurit pour le protocole IP (IPSec) pour
laccs dun site un autre et un protocole SSL pour laccs
des utilisateurs distants, un RPV est en gnral hautement
scuris par un cryptage des donnes qui circulent sur le
rseau travers un tunnel de communication scuris.

Vous devez rflchir la configuration des connexions


utilisateurs et la mthode dauthentification des utilisateurs
dun RPV. Que se passe-t-il si un utilisateur oublie son
ordinateur portable dans un train? Un tranger pourrait-il
prendre lordinateur et avoir accs au rseau de votre
entreprise?

Gestion de la scurit
La majeure partie de ce qui constitue la scurit informatique
concerne une administration de base: sassurer de raliser
les tches de maintenance essentielles requises dans
lenvironnement informatique de lentreprise. Certaines de
40 Scurit Informatique Pour les Nuls

ces tches consistent sassurer que le logiciel est jour et


que les correctifs sont appliqus; une discipline importante
car le nombre de bugs dcouverts dans les diffrents
systmes et logiciels augmente constamment. De mme,
il peut tre ncessaire que les gestionnaires de la scurit
vrifient que les utilisateurs obtiennent la toute dernire
version des mises jour de la scurit.

viter les attaques Jour Zro


Les attaques de scurit Jour Zro, qui exploitent les
vulnrabilits des logiciels avant que le fournisseur puisse
diffuser un correctif, sont de plus en plus nombreuses.
Les navigateurs Internet sont devenus un point dattaque
privilgi car ils concernent un nombre important
dutilisateurs et peuvent tre exploits directement, ds quun
utilisateur arrive sur un site Web infect. Microsoft a adopt
pour politique dmettre des mises jour une fois par mois, le
deuxime mardi de chaque mois (le Patch Tuesday), ce qui
donne aux cybercriminels un mois entier pour exploiter une
vulnrabilit avant quun correctif ne soit diffus.

Au-del dune bonne maintenance, les possibilits la


disposition des gestionnaires pour se protger contre les
attaques Jour Zro sont peu nombreuses bien que se tenir
inform des principales vulnrabilits et menaces et appliquer
les correctifs intermdiaires puisse aider.

La majeure partie de ladministration de la scurit peut


dsormais tre automatise, y compris les correctifs par
lintermdiaire de Windows Update, le service automatis
de Microsoft pour assurer la mise jour de ses logiciels et
lactualisation automatique des bases de donnes de virus
et de logiciels espions. Vous pouvez mme faire appliquer
certaines des rgles contenues dans votre politique
de scurit en bloquant notamment laccs certaines
applications pour un type dutilisateurs donn.

Limiter laccs utilisateur


Vous pouvez galement intgrer des restrictions dans votre
politique dutilisation dInternet, qui prcise par exemple une
interdiction daccs aux sites de socialisation pendant les
heures de travail, de 9h00 13h00 et de 14h00 18h00. Nous
Chapitre 3: tablir une dfense coordonne 41
proposons un exemple de politique dutilisation acceptable
dans le Chapitre 2. Mais comment la faire appliquer? Vous ne
pouvez pas patrouiller dans les bureaux pour pier ce que les
gens regardent. Le filtrage des URL, avec un haut niveau de
souplesse et de catgorisation des diffrents sites Web, peut
bloquer laccs un contenu inappropri en fonction dune
politique tablie, conomisant ventuellement des heures de
productivit perdues.

La politique de scurit contient galement des informations


sur les fonctions et responsabilits; en dautres termes, un
tableau de maintenance. Au sein dune petite entreprise,
il est rare que cette tche soit la fonction principale dune
personne. Il est donc important de sassurer que le travail est
ralis comme spcifi.

Contrler la technologie
Ladministration de la scurit consiste galement contrler
la technologie de lutte contre les programmes malveillants
(anti-virus et anti-logiciel espion) et les spams. Les logiciels
de lutte contre les programmes malveillants sont prsents
dans plus de 95% des petites et des grandes entreprises. Il
sagit galement dune technologie trs mature, les principaux
produits tant difficiles diffrencier.

Ladministration des protections contre les programmes


malveillants constitue lavantage actuel, avec des fonctions
comme:

Actualisation constante des bases de donnes hors site


pour rduire la charge sur les systmes de lentreprise,
couple des solutions hberges pour la scurit des
terminaux et des e-mails. Informations complmentaires
cet gard dans le Chapitre 5.
Mise en correspondance automatique des menaces
potentielles avec les menaces contenues dans la base de
donnes hors site.
Dploiement central des systmes et mises jour sans
avoir visiter chaque ordinateur.
Gestion centralise et rapports.
Compatibilit amliore avec les anciens systmes
dexploitation et matriels.
42 Scurit Informatique Pour les Nuls

Suppression / mise en quarantaine automatise des


programmes malveillants et envois de rapports aux
administrateurs systmes.

La majeure partie de linfection par des programmes


malveillants provient des tlchargements des utilisateurs,
consciemment ou inconsciemment. Ils peuvent notamment
penser mettre jour une application et dcouvrir une alerte
dusurpation car ils ont tlcharg un ver ou autre virus.

Les administrateurs systme aimeraient vraiment verrouiller


lenvironnement des ordinateurs afin que les modifications
de la configuration apportes par les utilisateurs soient
minimes et que tout changement ralis soit effac la fin
dune session. Cet tat vierge permet aux administrateurs de
rester plus facilement matres des mises jour logicielles
et, en thorie, dradiquer la majeure partie des infections
potentielles.

Les environnements verrouills conviennent aux lieux publics


et aux machines utilisation partage, aux environnements
bureaux flexibles (les employs travaillent sur diffrents
postes) et peut-tre mme aux utilisateurs mobiles. Quant
savoir sils conviennent une entreprise plus vaste, cest une
autre question.

Les entreprises doivent tablir une politique concernant


lemprunt des ordinateurs portables par les employs; le
verrouillage de lenvironnement de bureau peut notamment
permettre de faire appliquer cette politique. Mais vous devez
vrifier que vous ne risquez pas dentraver la productivit des
employs.

La protection des donnes


Les mesures de protection des donnes contrlent laccs
aux donnes confidentielles et les protgent contre toute
corruption. Elles font les gros titres quand les politiciens et
les fonctionnaires oublient leurs portables dans les trains
et les avions, laissant des informations personnelles et
publiques la vue de tous.

Mais, derrire ces gros titres, les inquitudes des entreprises


sont plus prosaques concernant les coordonnes de
Chapitre 3: tablir une dfense coordonne 43
leurs clients et leur responsabilit lgale de maintenir la
confidentialit des donnes personnelles de leurs employs.

Comprendre la porte des


bases de donnes
tant donn linterconnexion des systmes actuels, vous ne
pouvez pas esprer que les donnes soient scurises sur un
systme spar. La base de donnes elle-mme doit tre sre,
comme toutes les applications qui lui sont connectes.

Les cybercriminels sont parvenus exploiter les bases de


donnes par le biais des applications Web qui emploient
un code et des outils obsoltes. Pensez-y: si votre base de
donnes est connecte une application Internet, toute
personne qui peut avoir accs cette base par le biais dune
faille de lapplication peut alors envoyer une requte et
fouiller vos donnes.

Ce type de problmes est peu connu car il nest dans lintrt


de personne de les admettre. Toutefois, ils peuvent avoir des
consquences catastrophiques pour lentreprise et inciter
les directeurs dentreprise avoir recours une censure trs
stricte.

Limiter les menaces


visant les e-mails
La messagerie e-mail est un champ de mines potentiel pour
les donnes car il nest protg en gnral que par un nom
dutilisateur et un mot de passe. On peut cependant se
rassurer en pensant que la recherche dun e-mail sensible
revient chercher une aiguille dans une meule de foin tant
donn le volume de messages.

La messagerie e-mail est par nature peu scurise et, pour


les e-mails commerciaux sensibles, le cryptage est toujours
la solution. Le cryptage des e-mails utilise des cls pour
authentifier les utilisateurs et protger, en mme temps les
informations sensibles.
44 Scurit Informatique Pour les Nuls

La confidentialit des e-mails des employs au travail a


fait lobjet de nombreux dbats. Les e-mails sont-ils la
proprit personnelle du destinataire ou de lentreprise?
Mais une politique et une mise en garde sur les e-mails
sensibles devraient protger lentreprise contre la plupart
des problmes. Consultez le Chapitre 2 pour connatre les
politiques dutilisation acceptable.

Protection des donnes


La perte des donnes survient souvent quand les informations
circulent au sein dune entreprise sur une cl USB ou quand
une personne prend une partie des donnes en vue dune
analyse et les laisse sur un portable.

La fuite de donnes survient en gnral quand les donnes


sont en phase de transfert ou quand les employs ne
respectent pas les politiques tablies par lentreprise.

Lautomatisation peut nouveau tre utile cet gard. Vous


pouvez par exemple automatiser le cryptage des donnes
pendant leur transfert vers une cl USB ou utiliser une
solution pour assurer le cryptage automatique des donnes
sur un portable.

La scurit physique
La protection des locaux, des installations, du personnel,
des systmes informatiques et autres actifs de lentreprise
constitue certainement le travail de scurit le plus pratique.
Si vous pensez que la scurit physique na pas sa place dans
un livre sur la scurit informatique, dtrompez-vous.

La scurit physique reprsente la premire ligne de dfense


des systmes informatiques et une condition pralable
essentielle car laccs physique est le moyen le plus
facile pour un cybercriminel de voler des donnes ou de
compromettre des systmes.

La protection de vos locaux est probablement un facteur que


vous avez dj planifi et mis en place, et les risques pour
les actifs informatiques ne changeront pas vos dispositions
cet gard. Toutefois, aprs avoir ralis un audit des actifs
Chapitre 3: tablir une dfense coordonne 45
informatiques de votre entreprise, vous pouvez dcider
que certains secteurs ncessitent une couche de protection
supplmentaire, non seulement en raison de leur valeur
financire, mais galement cause des donnes qui rsident
sur ces machines et des perturbations qui surviendraient en
cas dincident.

Une scurisation de laccs la salle des serveurs, si vous


en avez une, est essentielle. Vous devez filtrer toutes les
personnes qui entrent et sortent pour vrifier quelles nont
pas une unit amovible sur laquelle copier des donnes.

Verrous, coffres-forts, systmes dalarme et gardes de scurit


sont des mthodes de scurit prouves, et certains dispositifs
lectroniques plus modernes peuvent galement aider:

Des camras en circuit ferm diriges sur des points


daccs particuliers peuvent tre relies des rseaux
dordinateurs pour enregistrer et visualiser depuis
nimporte quel endroit.
crans, cblage, contrleurs et autres dispositifs sont de
plus en plus abordables pour les petites entreprises.
Les prix des systmes dalarme, non seulement
autour du btiment, mais galement dans des lieux
particulirement sensibles, baissent galement, et la
plupart peuvent dsormais tre installs par lacheteur.
Les systmes de contrle daccs, avec cartes, numros
didentification personnels ou interphones, autrefois
rservs aux grandes entreprises, sont aujourdhui
essentiels pour tous.

Prvoir les consquences


Aucun plan de scurit nest complet sans un plan de continuit
des affaires et de reprise sur sinistre. La planification de la
continuit des affaires face un dsastre, quil soit technique
comme la perte du site Internet, ou naturel comme un incendie
dans les locaux, est une priorit absolue pour toutes les
entreprises. La continuit des affaires consiste assurer le
fonctionnement de lentreprise lors dun tel vnement, tandis
que la reprise sur sinistre concerne la restauration des systmes
informatiques aprs une catastrophe.
46 Scurit Informatique Pour les Nuls

La planification de la continuit des affaires consiste


souvent rflchir au pire scnario possible et aux solutions
ventuelles. En fait, tant donn quil est peu probable que
vous subissiez une catastrophe naturelle ou une attaque
terroriste pendant la dure de vie de votre entreprise, il vaut
mieux penser aux scnarios possibles dans la vie quotidienne,
comme les pannes lectriques et la disparition dun
fournisseur, ou les inondations et les temptes.

Si vous vous demandez sil est vraiment important dtablir


un plan de continuit des affaires, il vaut mieux savoir quune
partie des petites entreprises qui subissent le pire scnario
ny survivent pas:

Sur les 350 entreprises affectes par les attaques du


World Trade Center de New York en 1993, 150 nont
pas survcu. Toutefois, celles qui ont bien survcu, et
il existe certains exemples remarquables cet gard,
taient en mesure de fonctionner avec des perturbations
minimales quelques jours aprs lvnement.
Lincendie, en 2005, du dpt ptrolier de Buncefield
prs de Londres (le plus important en Europe depuis la
Seconde Guerre Mondiale), a engendr dimportantes
perturbations pour les entreprises. Le bureau de
Northgate Information Solutions situ Hemel
Hempstead, juste ct du dpt, a t entirement
dtruit, et certains des sites Internet du secteur public
quil exploitait ont t temporairement mis hors service.
Mais les plans de continuit des affaires de Northgate
ont permis aux clients de ne pas trop souffrir, et vers
la fin du mois, la socit avait restaur la totalit de ses
systmes internes et la grande majorit de ses donnes.

Les attaques des pirates et la corruption des donnes doivent


sembler insignifiantes en comparaison. Toutefois, cause des
perturbations quelles provoquent pour le fonctionnement
continu de lentreprise, elles comptent actuellement parmi les
menaces les plus graves.

Les menaces courantes pour la continuit des affaires


comprennent:

Les catastrophes naturelles (inondations, tremblements


de terre, incendies, etc.)
Les attaques informatiques
Chapitre 3: tablir une dfense coordonne 47
Le sabotage interne
Les pannes des services publics
Le terrorisme
Les maladies (comme une pidmie de grippe)
Les pannes de disques durs.

Aprs avoir identifi les menaces, analys leurs rpercussions


et tabli des plans de continuit des affaires, assurez-vous de
tester vos systmes et de les maintenir jour. La plupart des
entreprises sarrtent aprs avoir formul le plan et pensent
quelles sont protges. Elles se trompent. Les tests et la
maintenance des plans sont dune importance cruciale pour
lefficacit de ces derniers en cas de catastrophe.

Les plans de reprise sur sinistre, quand ils sont en place, sont la
mthode la plus adapte quand lvnement survient, alors que
les plans qui concernent les pannes de systme, les attaques
des sites Web et linfection par des programmes malveillants
sont moins efficaces, car moins rigoureux peut-tre.

Communiquer vos plans


aux utilisateurs
La communication aux employs de lexistence des plans,
des politiques et procdures applicables au personnel, et des
autorisations et interdictions relatives la scurit informatique,
reprsente une tape vitale pour lefficacit de ces plans.

La plupart des petites entreprises ne prcisent ni ce quelles


entendent par utilisation acceptable, ni ce qui constitue un
mauvais mot de passe. Par consquent, alors que vous pensez
appliquer des pratiques dexcellence, vos employs ne savent
pas en quoi elles consistent. Si vous ne leur dites pas quels
sont les plans et politiques, comment sont-ils supposs les
respecter?

Rares sont ceux qui tentent dlibrment de nuire leur


entreprise ou de lexposer des risques inutiles, mais les
employs peuvent mettre lentreprise en danger par leur
ignorance de ces politiques. Une navigation inoffensive
sur Internet ou un transfert de donnes apparemment
48 Scurit Informatique Pour les Nuls

anodin peuvent entraner des dfaillances alarmantes que


les cybercriminels peuvent exploiter. Alors que vous allez
nommer des personnes pour contrler et grer la scurit de
lentreprise, la responsabilit cet gard incombe finalement
chaque employ.

Les employs sont souvent le maillon faible dun systme


de gestion de la scurit informatique. La formation et la
connaissance continues sont la cerise sur le gteau, la pice
trop souvent manquante du puzzle, le dernier obstacle dans la
course lexcellence de la scurit informatique.

La plupart des dlits informatiques visent embobiner les


utilisateurs pour quils ralisent une activit qui compromet
leur entreprise. Il sagit dune activit quils nauraient pas
faite sils avaient rflchi. Quelques exemples:

Cliquer sur un lien dans un e-mail qui est un spam


Visiter un site Web quils ne devraient consulter en
aucun cas
Transmettre des informations personnelles ou des
donnes sur lentreprise une tierce partie non identifie
Sortir des donnes confidentielles de lentreprise
Ngliger les mises jour de la scurit ou les
sauvegardes pour gagner du temps.

La communication initiale sur la scurit et les politiques


applicables aux employs, couple une formation sur leur
importance, permet den assurer le respect, au moins dans les
grandes lignes. La formation doit mettre laccent sur le niveau
de confiance le plus bas. Si vous avez le moindre doute sur
une pice jointe, ne louvrez pas.

Mais la connaissance et la formation continues sont


galement importantes pour semer les cybercriminels.
Cet aspect est particulirement important pour lvolution
des politiques et pour dmontrer clairement au personnel
lengagement constant de la direction envers un niveau lev
de protection. Les cybercriminels sont toujours en qute de
nouveaux moyens pour persuader les utilisateurs de faire
des choses quils ne devraient pas faire. Il est donc essentiel
de sassurer que chacun reste sur ses gardes. Ce qui semble
suspect lest probablement.
Chapitre 4

Connatre votre ennemi


Dans ce chapitre
Vue gnrale sur lvolution des menaces
Comprendre les principales menaces auxquelles est confronte votre
entreprise aujourdhui
Connatre lhistoire de certaines attaques informatiques
Explorer le monde souterrain de la cybercriminalit

L es menaces ont volu de manire stupfiante au cours


des dix dernires annes, depuis les vnements de
masse qui ont fait la une des journaux au dbut de la dcennie
jusquaux menaces Internet combines et plus secrtes
daujourdhui. Le volume des menaces a galement progress
de manire considrable. La socit de recherche anti-virus
AV-Test identifie actuellement jusqu 700000 nouveaux
programmes malveillants par mois. Ce volume colossal rend
les menaces plus difficiles suivre et combattre. En outre, la
nature du monde souterrain de la cybercriminalit a chang,
dun groupe damateurs en qute de gloire une industrie de
professionnels motivs par largent.

Les petites entreprises sont davantage cibles par les


attaques car souvent, elles ne disposent pas des ressources
informatiques ncessaires pour se protger contre de tels
assauts et ont du mal ragir.

Afin de pouvoir vous dfendre contre ces menaces


changeantes, la meilleure stratgie consiste connatre votre
ennemi; ce chapitre examine en dtail les menaces et les
criminels modernes.
50 Scurit Informatique Pour les Nuls

Petite histoire des cyber-menaces


Avant et pendant les annes 2000, 2001 et 2003 laide des techniques
les pidmies de virus, vers et de hameonnage qui consistaient
chevaux de Troie constituaient envoyer des e-mails dapparence
les principales menaces. Le virus lgitime pour duper des utilisateurs
Melissa, dcouvert en 1999, tentait qui ne se doutaient de rien et obtenir
de senvoyer lui-mme en masse par leurs coordonnes bancaires et
e-mail en utilisant les 50 premires autres donnes personnelles.
entres du carnet dadresses dun
Le problme du spam a atteint des
utilisateur. Le ver ILOVEYOU, arriv
proportions pidmiques en 2004
en mai 1999 et considr comme
quand 70 80% des e-mails entrant
la menace la plus prjudiciable
dans les entreprises pouvaient tre
cette date en termes financiers,
classs comme des spams; cette
senvoyait galement tout seul
poque galement, les auteurs de
en utilisant toutes les entres du
virus ont commenc joindre des
carnet dadresses dun utilisateur,
charges virales aux e-mails.
avec une lettre damour jointe
qui provoquait des dommages De nouveau, la vague de spams
importants louverture. Code Red a t quelque peu ralentie par les
en 2001, et SQL Slammer et Sasser filtres antispam qui sont devenus
ont suivi en 2003. plus sophistiqus, supprimant
non seulement les e-mails dont la
De nombreuses variantes des vers et
barre de message ou lexpditeur
des virus ont continu apparatre
paraissait suspect, mais galement
et exploiter diffrentes failles,
en fonction du type de contenu. La
principalement dans les systmes
technologie antispam hberge
Microsoft (en raison de leur ubiquit)
rsout encore mieux ces problmes:
pendant les annes suivantes.
en liminant les spams et autres
Cependant, au fil du temps, cette
menaces reposant sur les e-mails
charge virale a t limite en partie
avant quils natteignent le rseau,
par lexpansion grande chelle
elle veille ce que le volume
et lefficacit grandissante des
colossal de e-mails indsirables ne
logiciels antivirus, et en partie
bloque pas les serveurs de courrier
par une meilleure information des
et les rseaux.
utilisateurs.
Attention aux logiciels espions!
Traquer lpidmie de Spams
En 2004, le logiciel espion ou
Les cyber-terroristes se sont tourns
Spyware (logiciel tlcharg linsu
vers lenvoi de spams en masse entre
Chapitre 4: Connatre votre ennemi 51

de lutilisateur et qui enregistre son La guerre contre les botnets


activit informatique) a t ajout
Ensuite, le logiciel espion a laiss
larsenal du cybercriminel ; une
la place au bot (abrviation de
menace bien plus sinistre et difficile
robot). Les bots sont des ordinateurs
traquer. Selon une tude de
compromis, connus sous le nom de
2004 ralise par AOL et National
botnet quand ils sont regroups,
Cyber-Security Alliance, 80 % des
qui sont prts excuter les ordres
ordinateurs des mnages taient
de leur matre, des attaques par
infects leur insu par une forme
saturation aux envois de spams en
quelconque de logiciel espion.
masse.
Le dveloppement du logiciel espion
Les botnets disposent dune
a t dautant plus grave que, lors
puissance de calcul qui est cent
de son apparition, les fournisseurs
mille fois suprieure aux attaques
taient concentrs sur les logiciels
informatiques traditionnelles et
antivirus. Or, les produits antivirus
peuvent provoquer de graves
traditionnels ne pouvaient pas
dommages lors dinitiatives
dtecter les logiciels espions,
concentres et cibles. Certains
dont les caractristiques sont
experts pensent que les techniques
totalement diffrentes des virus.
modernes de calcul distribu ont
Par la suite, le logiciel espion a t
permis lexpansion des botnets,
largement intgr dans les suites
qui peuvent rapidement infecter un
de scurit tout-en-un, et la plupart
grand nombre dordinateur par le
des entreprises sont dsormais
biais du partage de fichiers et des
protges.
rseaux poste poste.

Protection contre les menaces


Internet combines daujourdhui
Si le dveloppement des menaces au cours des dix dernires
annes nous donne une indication (voir lencadr Petite
histoire des cyber-menaces), cest bien la suivante: ds
que vous bouchez une faille dans vos dfenses, vous devez
en surveiller une autre. Aujourdhui, les frontires entre les
diffrents types de programmes malveillants sont devenues
troubles, et ce qui tait par le pass une attaque linaire
relativement simple est devenu un assaut combin, souvent
soutenu.
52 Scurit Informatique Pour les Nuls

Auparavant, la mthode dattaque indiquait le programme


malveillant (et souvent la dfense associe), mais les
cybercriminels voluent de jour en jour. Ils sappuient sur
les charges virales les plus puissantes de la gnration
prcdente, tout en intgrant de nouvelles mthodes, et ils
modifient constamment leurs points dattaque pour viter
toute dtection. Leurs nouvelles attaques associent un certain
nombre de caractristiques dommageables pour des rsultats
potentiellement dsastreux.

Ces menaces combines sont dnommes menaces Internet


car elles reposent en majeure partie sur le Web. Une tude
de 2008 de TrendLabs (le laboratoire de la scurit de
Trend Micro), qui dtermine les origines dun grand nombre
dinfections informatiques, a dcouvert que plus de 90%
dentre elles atteignaient leurs cibles via Internet. Le transfert
de fichiers arrivait en deuxime place et concernait les
supports amovibles comme les cls USB.

Le Web est lendroit parfait pour lancer des attaques


informatiques. Il reprsente une masse considrable
de victimes potentielles, et les cybercriminels peuvent
masquer, dans une certaine mesure, leur vritable identit
lutilisateur. videmment, les attaques sont galement faciles
suivre car elles proviennent dune URL spcifique, qui peut
tre bloque. Mais cela oblige simplement les criminels
passer leur proie suivante.

Des combinaisons mortelles


Les menaces Internet combines comportent souvent des
tapes multiples, qui semblent bnignes au premier abord,
par exemple un e-mail avec un lien qui, lorsquil est activ,
relche une charge virale. Quelques tapes possibles:

Un programme malveillant est install par le biais dune


pice jointe un e-mail ou dun site Web compromis.
Un canal de communication ouvert est tabli (une porte
drobe) en gnral par lintermdiaire dun cheval de
Troie
Un programme malveillant supplmentaire est
tlcharg, modifiant ventuellement la forme du logiciel
malveillant dorigine.
Chapitre 4: Connatre votre ennemi 53
Les menaces combines regroupent plusieurs varits et
niveaux de menaces. Elles sont:

Multivariantes: multitude de menaces combines cres


sur une mme base, incorporant des variations minimes
mais infinies, dune variante lautre. La varit est un
moyen dviter constamment la dtection.
Multi-protocoles: attaquant plusieurs systmes la
fois. Une menace peut arriver par le biais dune URL
intgre dans un e-mail, des essais de vulnrabilits
dans un navigateur, ou une attaque via des protocoles
de messagerie lectronique (e-mail ou messagerie
instantane).
Distribues: rpartissant leur charge virale sur de
nombreux htes, nouveau en petites quantits sur
chaque hte.

La combinaison de lattaque est potentiellement mortelle,


utilisant des spams pour une diffusion grande chelle,
lInternet comme mdia de masse parfait et les programmes
malveillants pour une activit destructrice. Chaque partie
de ce puzzle peut sembler bnigne, mais considr dans son
ensemble, la puissance de lassaut combin devient vidente.

tude de cas dune cyber-menace:


le ver Conficker
Le ver Conficker ou WORM_ systme. Ensuite, il sest rpandu sur
DOWNAD est un bon exemple les rseaux Windows; une variante
des mthodes employes par les conscutive a russi forcer lentre
cybercriminels pour combiner les des serveurs de rseaux et des
tactiques dinfection de masse lecteurs amovibles, rinfectant les
traditionnelles aux mcanismes plus ordinateurs prcdemment infects.
modernes de lattaque combine, Il est considr comme le ver le plus
couples linfrastructure de rapide depuis SQL Slammer en 2003,
contrle-commande. car en janvier 2009, il avait infect
entre 9 et 15 millions dordinateurs.
Ce ver a exploit une faille dun
service de Windows pour infecter Le ver bloque laccs aux sites
les ordinateurs quips de ce antivirus, dsactive les mises jour

(continu)
54 Scurit Informatique Pour les Nuls

(continu)

de Windows et autres services du dollars pour des informations


systme dexploitation et verrouille permettant larrestation de ses
les comptes utilisateurs. Il gnre crateurs. Mais de nombreuses
une liste de noms de domaines machines nont pas bnfici de ce
auxquels il se connecte et tlcharge correctif.
une charge virale supplmentaire.
La charge virale finale a donn lieu
Microsoft a publi un correctif de nombreuses spculations car le
en urgence en octobre 2008 pour botnet du ver sest relanc le 1er avril
combler cette faille et a cr un 2009. Mais, la date de rdaction de
groupe durgence pour lutter contre ce livre, il a provoqu des dommages
les rpercussions de Conficker en limits.
offrant une rcompense de 250000

Lingnierie sociale
Au cours de lanne coule, les criminels ont employ de
plus en plus les techniques dingnierie sociale (en fait, le
cyber-mensonge) pour atteindre leurs buts. Ils surfent sur
les problmes publis dans les mdias ou prtendent tre
votre banque ou une socit de livraison pour vous persuader
douvrir un fichier malveillant. Ils utilisent les e-mails
dhameonnage (fishing) pour tenter de soutirer des donnes
personnelles aux utilisateurs, en leur demandant par exemple
de remplir un questionnaire en change dune rcompense
financire. Ils peuvent aussi se faire passer pour des sites de
rseaux sociaux, voire des fournisseurs de logiciels antivirus.

Dans le pire des scnarios, ces criminels ne se concentrent


pas uniquement sur le monde virtuel. Des tentatives rcentes
dans le monde physique cherchent faire venir les gens
sur des sites infects. titre dexemple, ils placent des
papillons sur les voitures dans les parkings, dclarant que
la personne a reu une amende pour un stationnement
non autoris et quelle doit aller sur un site Internet pour
confirmer les informations sur son vhicule. Lors de la visite
du site Internet, un programme malveillant est install sur
lordinateur.

Une tendance plus sophistique dutilisation des spams


consiste employer un spam de rtrodiffusion qui permet aux
criminels denvoyer en masse des e-mails un grand nombre
Chapitre 4: Connatre votre ennemi 55
de destinataires en se faisant passer pour un expditeur
diffrent. Le tiers reoit alors une charge complte de
messages derreurs ou en absence.

On monte le volume
La croissance du volume des programmes malveillants
gnr aujourdhui est phnomnale. Selon AV-Test, en 1988,
il existait 1738 menaces isoles. Ce chiffre a doubl chaque
anne jusquen 2005. Mais au cours des dernires annes, le
nombre de nouvelles menaces a explos. Les statistiques qui
suivent font froid dans le dos:

Au dbut de lanne 2008, le nombre total de menaces


isoles en circulation a dpass 10 millions; vers la fin de
lanne 2008, il avait atteint 20 millions; il a donc doubl
en moins dun an!
En moyenne, plus de 2000 programmes malveillants
isols et nouveaux arrivent toutes les heures sur
Internet.
Aujourdhui, une semaine suffit pour crer la production
complte de programmes malveillants de lanne 2005.

Dans certaines catgories spcifiques, une monte massive


des spams et des bots est survenue en 2008, les deux tant
intrinsquement lis car les botnets sont la principale
source dexpdition de spams. De janvier novembre
2008, 34,3millions dordinateurs ont t infects par des
programmes malveillants provenant de sources couramment
associes aux bots.

Le monde souterrain de
la cybercriminalit
Contrairement lconomie du monde rel, lconomie du
cybercrime est en plein boom. Selon certaines estimations,
le monde souterrain de la cybercriminalit gnre dsormais
des bnfices impressionnants de 100milliards de dollars
par an. Alors que les enchres montent, ce monde souterrain
se professionnalise et se structure davantage comme une
56 Scurit Informatique Pour les Nuls

entreprise. Par consquent, les individus se spcialisent


et offrent des services malveillants particuliers. Tout peut
pratiquement sacheter ou se louer.

Conjointement aux offres groupes, les cybercriminels peuvent


employer les services de programmateurs malveillants ddis
en vendant un code en ligne, comme le ferait une socit de
conception de logiciels dans le monde rel.

Les bnfices financiers


Les informations voles reprsentent un commerce colossal,
les cybercriminels ngociant les donnes personnelles,
notamment les noms dutilisateurs pour les e-mails, les
numros de cartes de crdit, les numros de scurit
sociale, les mots de passe daccs un compte, les numros
didentification et les mots de passe des sites de jeux.
Les cybercriminels font des affaires avec les pirates et
les fournisseurs de botnet, ngociant ces produits avec
des vendeurs de programmes malveillants, qui leur tour
collaborent avec des vendeurs de programmes danti-
dtection et de botes outils. Les programmeurs pirates,
spammeurs et matres chanteurs travaillent cte cte ou
collaborent parfois avec des hommes daffaires indpendants
dans ce qui devient une industrie de plus en plus consolide.

Les prix sur le march noir de la cybercriminalit sont


cependant trs abordables: 50 3500dollars pour lachat
dun programme malveillant prt lemploi selon un article du
journal anglais The Independent; et 25 60dollars par mois
seulement pour une souscription un service qui contrle
les dveloppements des logiciels antivirus et peaufine les
programmes malveillants en consquence. Selon ce mme
article, une heure dutilisation dun rseau botnet comptant
8000 10000ordinateurs cote environ 200dollars. Une
recherche mene en 2007 par TrendLabs sur lconomie
numrique souterraine a dcouvert que, pour seulement
100dollars par jour, vous pouvez disposer dune attaque par
saturation distribue, tandis quil vous faudra 1000dollars
pour acheter 10000ordinateurs compromis. Les attaques
par saturation visent liminer des ressources en ligne en les
bombardant de demandes de service.
Chapitre 4: Connatre votre ennemi 57
Une palette doutils
La disponibilit des outils leur permettant de se lancer et
dagir rapidement est une des raisons du succs grandissant
des cybercriminels. Ces outils vont des kits de hameonnage
prts lemploi et gratuits, obtenus auprs dentits telles
que Mr Brain (un groupe de fraudeurs marocains qui fait
la publicit de kits faciles utiliser ayant lanc des attaques
sur de nombreuses banques Tier One), aux modles de spams
gratuits qui rpliquent avec prcision lapparence des sites
bancaires populaires.

Les failles de la protection des donnes augmentent:


selon le rapport dIdentity Theft Resource Center de 2008,
656failles avaient t dclares la fin de lanne 2008,
une augmentation de 47% par rapport aux 446failles de
2007, ce qui reprsente un total de 35millions de donnes
compromises.

La croissance des programmes automatiss de cration de


logiciels malveillants est tout aussi inquitante. Ils peuvent
utiliser une version dun programme malveillant et en gnrer
des centaines de variantes, chacune ayant une empreinte
unique, chappant ainsi la dtection traditionnelle du fichier
signature.
Chapitre 5

Concevoir des solutions


pratiques
Dans ce chapitre
Submerg par des menaces en constante augmentation?
Lutter contre les menaces qui arrivent de toutes parts
Considrer une protection hberge dans le nuage informatique
Se relier un rseau de protection intelligent

F ace la croissance exponentielle chaque anne du


nombre de menaces informatiques, les fournisseurs
de scurit ressemblent parfois au roi Canut qui tente
dordonner aux vagues darrter de dferler sur la plage. Bien
que les entreprises reoivent en gnral le message sur la
scurit informatique et mettent en uvre les mesures dont
nous avons parl dans le Chapitre 3, les moyens de protection
traditionnels ne seront plus adapts dans lavenir.

Les mises jour des fichiers signatures, expliques ultrieure-


ment, ne gagnent pas seulement en importance et en frquence,
elles perdent galement en efficacit car les cybercriminels
modifient constamment leurs attaques et utilisent des menaces
Internet combines pour dguiser leurs intentions.

Peut-tre est-il temps de se tourner vers linformatique hber-


ge sur Internet, aussi appele informatique dans le nuage
(in-the-cloud), pour sauvegarder votre scurit informatique;
elle est adopte pour hberger hors site des solutions infor-
matiques qui doivent conserver et maintenir jour, en per-
manence, de vastes banques de donnes. Elle facilite aussi
considrablement les frais dadministration pour les petites
entreprises.
Chapitre 5: Concevoir des solutions pratiques 59
Envisager un rseau de protection intelligent (Smart Protection
Network), dont nous parlerons plus en dtail par la suite, va
encore plus loin en reprenant lide de linformatique dans le
nuage, tout en reliant tous les nuages. Ce type de ressource
partage rpond exactement la demande informatique
moderne: un plan de surveillance groupe pour la scurit
informatique.

Tenter vainement darrter


le dferlement des vagues
Laccroissement du volume des programmes malveillants a
t phnomnal ces dernires annes. Mais la situation va
empirer dans les annes qui viennent. TrendLabs a remarqu
une augmentation de 1731% des nouvelles menaces entre
2005 et 2008. Dici 2015, le laboratoire de la scurit prvoit
de traiter 26598menaces par heure, comme lindique la
Figure 5-1.

30,000 26,598

25,000

20,000 16,438

15,000
10,160
10,000 6,279
3,881
5,000 2,397
799 1,484
57 205
0
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Figure 5-1: augmentation anticipe des nouvelles menaces malveillantes.

Le cercle vicieux dans lequel les rseaux informatiques sont


aujourdhui englus explique en partie pourquoi les analystes
sont tellement convaincus de lamplification constante de
la mare des logiciels malveillants. En dpit dune activit
importante et de mesures de rglementation pour lutter
contre les spams, ces derniers continuent daugmenter aux
tats-Unis alors que de nouvelles techniques dhameonnage
60 Scurit Informatique Pour les Nuls

et de spam apparaissent. Les tats-Unis sont toujours trs loin


devant les autres pays, avec 22,5% de lensemble des spams.
Et laugmentation invitable du nombre de bots conduira
des attaques de spams, par saturation et autres, toujours plus
nombreuses.

Les fichiers signatures


ne peuvent pas suivre
La prolifration des menaces ne permet pas aux garde-fous
traditionnels, comme les mises jour des fichiers signatures,
de suivre le rythme. La plupart des systmes antivirus
modernes dtectent les virus en scannant les ordinateurs
la recherche dune signature particulire et la mettent
en correspondance avec les fichiers signatures de leurs
bases de donnes. Ds quune correspondance de signature
est dcouverte, llment incrimin peut tre plac en
quarantaine ou compltement supprim.

En 1988, quand les menaces natteignaient que


1738programmes isols, les professionnels de la scurit les
avaient regroupes dans 30familles ou modles. Ils devaient
mettre 30signatures pour trouver les logiciels malveillants.
Les modles totalement nouveaux nont merg que
lentement alors que les auteurs de virus dcouvraient une
nouvelle mthode pour rpandre leurs charges virales.

Aujourdhui, des milliers de nouveaux modles mergent


toutes les heures, et les cybercriminels, comprenant les
limites auxquelles sont confronts les fournisseurs de mises
jour, crent constamment de nouvelles variantes de leurs
logiciels malveillants. Ils modifient souvent leur logiciel
malveillant dans les heures qui suivent pour conserver leur
avance.

Lindustrie de la scurit a ragi ce problme en publiant


des mises jour plus frquentes, certains fournisseurs
rafrachissant les mesures de scurit deux fois par jour,
voire toutes les heures. Chaque nouvelle mise jour contient
un volume lev de modles alors que les fournisseurs de
scurit tentent dendiguer la mare des cyber-menaces.
Chapitre 5: Concevoir des solutions pratiques 61

Leffet McColo
Sil vous faut des preuves suppl- de vol de carte de crdit, de fraude
mentaires de la prdominance con- et descroqueries du type devenez
tinue des menaces, laffaire McColo, riche rapidement.
survenue en 2009, devrait vous en
Aprs des annes denqute,
convaincre. McColo Corp tait un
McColo a finalement t ferm en
hbergeur de sites Internet de San
novembre 2008, entranant une chute
Jos en Californie qui tait con-
mondiale des spams de 50 75% en
sidr comme hbergeant toutes
une nuit. Toutefois, la dconnexion
sortes doprateurs cybercriminels
de McColo na eu quun effet tem-
(du spammeur linfrastructure de
poraire; le niveau des spams a pro-
contrle-commande) pour certains
gressivement redmarr, et lun des
des botnets identifis les plus impor-
plus grands botnets qui tait cens
tants du monde. Ces botnets con-
tre hberg par McColo semble
trlaient des milliers dordinateurs
gagner en robustesse, tant contrl
impliqus dans des activits de
partir dun autre lieu.
spams, de pornographie infantile,

Mais les mises jour frquentes des fichiers signatures


posent des problmes. Elles peuvent:

trangler la bande passante du rseau pendant la mise


jour des machines clientes
Ralentir la performance des ordinateurs individuels
Donner des maux de tte supplmentaires aux
administrateurs de rseaux qui doivent vrifier que les
machines sont bien actualises.

Le rythme et le volume de mises jour des fichiers signatures


encombrent les rseaux des entreprises, occupant une
bande passante prcieuse qui devrait servir des tches
commerciales importantes, et affectant la performance des
machines des utilisateurs. Rien nest plus agaant que de
devoir attendre que votre ordinateur ait termin dappliquer
une mise jour quand vous le dmarrez le matin et que vous
souhaitez vous mettre immdiatement au travail.
62 Scurit Informatique Pour les Nuls

Le nouveau dfi des menaces


combines
Certaines indications laissent supposer que les mesures de
scurit des entreprises et leur protection contre les menaces
dangereuses pour les affaires samliorent. Lenqute sur les
failles de scurit informatique cite dans le chapitre 1 a indi-
qu notamment que, parmi toutes les entreprises:

99% sauvegardent les systmes et les donnes critiques


98% disposent dun programme de lutte contre les
logiciels espions
97% filtrent les e-mails entrants la recherche des spams
97% protgent leur site Internet avec un pare-feu
95% scannent les e-mails entrants la recherche de virus
94% cryptent les informations envoyes et reues sur
leur rseau sans fil.

Et il ne sagit pas uniquement dune amlioration des con-


trles techniques. Cette enqute a montr que 55% des
entreprises disposent dune politique de scurit documente
(contre 27% lanne prcdente) et 40% assurent une forma-
tion continue des employs sur la reconnaissance des men-
aces (contre 20% lanne prcdente).

Ces chiffres proviennent essentiellement des grandes entre-


prises qui disposent de ressources plus importantes con-
sacrer aux contrles, la documentation et la prise de
conscience de la scurit. Ils restent toutefois encourageants.

Croissance des menaces multiples


Les mesures de scurit informatique traditionnelles traitent
des problmes de scurit traditionnels. Quen est-il des men-
aces les plus rcentes qui vitent ces contrles techniques,
comme le programme de vol de donnes qui infecte les rseaux
des entreprises et sinstalle en silence pour drober les infor-
mations commerciales en vue de commettre des fraudes? Le
programme de vol de donnes reprsente un type de menace
Internet combine, constitu en gnral dun certain nombre
Chapitre 5: Concevoir des solutions pratiques 63
de menaces, fusionnant dans une activit apparemment inof-
fensive avec une charge virale, comme illustr la Figure 5-2.

TROJ_PROXY en Action

Attaque par Spam


Attaque par saturation
(DoS - Denial of Service)

???

Spam Information
sensible

Site Web
compromis
Rseau de communication
ouvert

Figure 5-2: menace Internet combine de spams et de sites Internet


malveillants

Les menaces Internet combines peuvent changer de forme,


passant dun programme apparemment inoffensif une
charge malveillante, vitant ainsi le scannage des fichiers.
Elles arrivent souvent par le biais dun port de protocole
Internet ouvert, vitant ainsi les systmes de dtection
dintrusion comme les pare-feux, ou via un lien intgr dans
un e-mail.

Le filtre de messagerie va scanner les pices jointes. Mais, si


un utilisateur est amen cliquer sur un lien contenu dans un
e-mail, il ouvre un site factice dirig par un cybercriminel, qui
commence alors tlcharger un programme malveillant.

De plus, les cybercriminels largissent sans cesse leurs


cibles pour intgrer les tlphones portables, spcifiquement
Windows Mobile PocketPC, Symbian OS et Palm OS. Lemploi
grandissant de ces appareils par les entreprises va provoquer
de nouveaux maux de tte pour les gestionnaires de systmes.

Les cybercriminels testent constamment leur nouveau pro-


gramme malveillant par rapport aux solutions de protection.
Ainsi, leurs attaques sont si efficaces que la plupart des solu-
tions de protection des entreprises sont incapables de les
dtecter. tant donn lvolution constante des menaces et
des modles dattaque, le scannage reposant sur la signature
ou le comportement dun fichier est inefficace.
64 Scurit Informatique Pour les Nuls

Lutter contre les dangers


dInternet
Les sites Internet commerciaux sont de plus en plus compro-
mis par les cybercriminels, quips doutils automatiss, qui
surfent sur Internet la recherche de failles.

videmment, les grands sites comme eBay et Google sont des


cibles de choix. Cependant, les cybercriminels sattaquent
galement aux sites des petites entreprises. Il sagit sou-
vent de sites anciens qui utilisent des outils et des logiciels
obsoltes car, nouveau, lentreprise ne dispose pas des res-
sources ncessaires pour les actualiser.

Les sites Internet sont de plus en plus compromis. Les der-


niers chiffres de WhiteHat Security indiquent que 64% des
sites prsentent une faille importante ou critique tandis que,
selon Websense, 70% des 100plus grands sites contiennent
un contenu malveillant ou une redirection cache.

Rester au fait des sites compromis dans les diffrentes rgions


du monde quand ils sont infects une vitesse aussi alar-
mante est lun des dfis les plus difficiles auxquels lindustrie
de la scurit est confronte aujourdhui.

En scurit dans le nuage


Linformatique dans le nuage (Cloud Computing) est un
regroupement de ressources informatiques partages, main-
tenu en gnral en dehors du site de lentreprise, et auquel
on accde par le biais dInternet. Les services informatiques
offerts in-the-cloud comprennent des solutions telles que la
scurit de messagerie hberge, ou de larges bases de don-
nes de rputation de sites Web, ou encore de vastes banques
de donnes informatiques. Relisez le Chapitre 2 pour de plus
amples informations sur les services dhbergement. Dplacer
et hberger les bases de donnes des fichiers signatures et
autres ressources de scurit dans le nuage, reprsente une
solution pour la gestion de la mare montante des menaces.
Chapitre 5: Concevoir des solutions pratiques 65
Lavantage de lutilisation de linformatique dans le nuage
pour grer de grands groupements de ressources repose sur
la gestion du nuage informatique par des experts. Vous
navez donc pas vous inquiter dune gestion en interne. Elle
est galement:

volutive, elle peut donc grandir au fur et mesure de


laugmentation des ressources hberger.
Virtualise, autrement dit, elle utilise au mieux les res-
sources informatiques sur lesquelles elle fonctionne et,
cet gard, elle est moins gourmande en ressources.
Plus fiable car vous ne comptez pas sur la mise jour de
votre propre rseau. Tant que vous disposez dune con-
nexion Internet, vos machines peuvent se mettre jour
toutes seules.
Moins chre que des ressources locales, bien que le cot
dpende du nombre dutilisateurs et de la taille de la
base de donnes que vous utilisez.
Efficace sur de multiples terminaux. Ainsi, vous pouvez
facilement connecter des utilisateurs nomades, diffrents
appareils mobiles et autres sans avoir vous rendre sur
place pour les actualiser. Ainsi, la scurit ne dpend
plus dun emplacement particulier.
Plus scurise. Les dbats quant la scurit des plate-
formes informatique dans le nuage ont t nombreux.
Mais rflchissez: le fournisseur de scurit hberge son
propre logiciel, vous vitant davoir lexploiter sur vos
propres systmes. Vous navez peut-tre plus le contrle,
mais cest obligatoirement plus sr.

En outre, linformatique dans le nuage prsente un avantage


supplmentaire pour la scurit: vous pouvez associer dif-
frents services dans le nuage et leur permettre de com-
muniquer entre eux. Cela permet de lutter contre la menace
supplmentaire quimpliquent les menaces Internet combi-
nes en dtectant les modles dans les combinaisons elles-
mmes. Choisissez linformatique dans le nuage pour sauver
votre scurit informatique!
66 Scurit Informatique Pour les Nuls

Un rseau de protection
intelligent
Se tourner vers un Rseau de Protection Intelligent (Smart
Protection Network) est une nouvelle approche qui exploite les
technologies les plus rcentes.

Les ressources de scurit tant dj tires au maximum et


les menaces devenant chaque jour plus difficiles combattre,
la technologie de protection dynamique en temps rel dun
rseau de protection intelligent (Smart Protection Network),
est conue pour sadapter la nature de la menace et rdu-
ire son impact sur le rseau et les ressources informatiques
dune entreprise, contrairement aux offres traditionnelles.

Un rseau de protection intelligent repose sur linformatique


in-the-cloud et est compos de trois lments:

Gestion de la rputation des e-mails (value lauthenticit


des adresses lectroniques en fonction dadresses simi-
laires dtenues dans un fichier)
Gestion de la rputation des sites Web (ou protection
contre les menaces Internet)
Gestion de la rputation des fichiers (ou scannage
intelligent).

Ce rseau vous apporte:

Une corrlation croise entre les vnements. Ainsi, si


un spam renvoie vers un site Web particulier, le rseau
ajoute cette URL la liste noire, analyse le programme
malveillant cach sur ce site et rdige une signature pour
lidentifier et lintercepter.
Une population croise entre les bases de donnes
lchelle mondiale, actualisant les informations sur les
failles de scurit entre, par exemple, le march asiatique
et le march europen.
Une boucle de rtroaction dont bnficient tous les
utilisateurs lchelle mondiale, assurant tous un
partage efficace des informations sur les menaces quils
rencontrent.
Chapitre 5: Concevoir des solutions pratiques 67
Le fournisseur de scurit entretient le rseau global de ren-
seignements sur les menaces, ajoutant des millions dadresses
IP, dURL et de fichiers douteux chaque jour. Et, tant donn
quil est hberg, le rseau peut traiter des milliards de
demandes par jour, assurant une vaste protection contre
tous les types de menaces, y compris les nouvelles menaces
Internet.

La corrlation est un concept important dans la lutte contre


les menaces combines. Cest lassociation des trois lments
dfinis ci-dessus qui fait du rseau de protection intelligent un
rseau si puissant dans la lutte contre les menaces Internet.
Ce rseau peut relier diffrents vnements, permettant
dobtenir une image globale et assurant finalement une meil-
leure base de donnes des menaces informatiques.

Un rseau de protection intelligent utilise des boucles de


rtroaction globales pour suivre une menace de scurit et
isoler sa cause, reliant des centres de recherche, des utilisa-
teurs, des produits et des services:

Quand un programme malveillant est dtect, le rseau


gnre la rtroaction qui conduit la recherche de lURL
source, et actualise le rseau de protection intelligent en
consquence.
Le-mail est, par la suite, bloqu au niveau de la
passerelle du rseau car il contient une URL qui est
dsormais sur la liste noire de la base de donnes sur la
rputation des sites Web.
Les tlchargements futurs sont bloqus car le fichier
signature est ajout la base de donnes de rputation
des fichiers, et lexpditeur de le-mail est ajout la base
de donnes de rputation des e-mails, rompant la chane
dinfection le plus rapidement possible.

Lutilisation du Cloud Computing acclre galement le pro-


cessus car vous navez pas attendre que les ordinateurs
tlchargent les dernires mises jour sur les modles de
fichiers.

Le rseau de protection intelligent est parfois compar une


version en ligne de la surveillance de quartier dans lesquels
les citoyens se protgent les uns les autres en temps rel et
ragissent avant que les problmes ne surviennent.
68 Scurit Informatique Pour les Nuls

Lavenir de la scurit
Les ressources de scurit tant dj tires au maximum et
la situation devenant chaque jour plus pnible, lassociation
de la technologie dans le nuage (in-the-cloud) et des mthodes
de protection traditionnelles dessine lavenir de la scurit et,
dans les tests, elle apporte le meilleur niveau de protection.

Dans un rapport de comparaison de logiciels antispam ralis


en 2009 par West Coast Labs, la solution de scurit hberge
des e-mails permettait notamment dobtenir le meilleur taux
de dtection ( 96,71%) par rapport neuf autres solutions,
ainsi quun taux de faux positifs ngligeable.

Autre exemple: en novembre 2009, NSS Labs a test les


dernires solutions de scurit. Le test a dmontr lefficacit
de lassociation dune protection hberge dans le nuage
et dune protection hberge localement sur les terminaux.
La meilleure solution offrait un taux de protection de 96,4%
contre les menaces informatiques modernes.

Diffrentes technologies et approches seront bientt


regroupes pour crire lavenir de la protection informatique.
Pour les petites entreprises, il ne sagit pas uniquement de
protger mieux leurs actifs, cette solution facilite galement la
gestion de la scurit, rduit les cots et les problmes.
Chapitre 6

Les dix principales


mesures de scurit
informatique pour les
petites entreprises
Dans ce chapitre
Savoir contre quoi vous luttez
Connatre les mthodes de dfense

C e court chapitre prsente les pratiques essentielles que


chaque petite entreprise doit adopter pour prserver
lefficacit de ses systmes de scurit informatique. Nous
sommes convaincus que votre entreprise obtiendra une note
de dix sur dix!

Identifier les menaces


Chaque entreprise disposant dune connexion Internet
(en fait, chaque personne ayant une connexion Internet)
est la proie potentielle des cybercriminels. Pour protger
parfaitement votre technologie et votre entreprise, vous
devez dterminer quelles sont les menaces les plus
inquitantes. Le Chapitre 1 vous permet dvaluer vos
domaines risque pour identifier les vnements qui
pourraient affecter votre entreprise et sa russite continue.
70 Scurit Informatique Pour les Nuls

Raliser une tude dimpact


Aprs avoir identifi les menaces, vous devez dterminer les
dommages potentiels en cas dattaque. Rflchissez tous les
scnarios possibles pour pouvoir dterminer les mthodes de
reprise si ces vnements se concrtisent. Allez au Chapitre 1
pour obtenir des conseils sur la ralisation de cette tude.

Formuler une politique


de scurit
Les mesures que vous avez instaures pour scuriser votre
entreprise constituent la politique de scurit lorigine de
vos pratiques commerciales et du comportement de vos
employs. Le Chapitre 2 couvre ce sujet en profondeur.

Identifier les actifs et


les facteurs de risque
Vous devez connatre les actifs de valeur dont vous disposez
pour pouvoir trouver un moyen de les protger. Et en tudiant
les risques qui menacent chaque actif, vous pouvez concevoir
des mthodes de protection.

Rdiger une politique


dutilisation acceptable
Votre entreprise fournit aux employs les outils dont ils ont
besoin pour travailler. Vos employs doivent savoir quelles
sont les pratiques dutilisation acceptable et inacceptable de
chacun de ces outils. Vous pouvez notamment interdire aux
employs de visiter des sites Web qui pourraient engendrer
des problmes lgaux, aussi bien pour lemploy que pour
lentreprise. Cependant, comme lexplique le Chapitre 2, il
ne faut pas rduire uniquement les pratiques illgales, mais
galement toute utilisation qui affecte la productivit et les
bonnes pratiques commerciales.
Chapitre 6: Les dix principales 71

Formuler une politique


dutilisation dInternet
et des e-mails
Laccs aux e-mails et lInternet compte parmi les principaux
outils que vous mettez la disposition de vos employs.
Formulez une politique indiquant lusage commercial
appropri de ces outils par vos employs. Le Chapitre 2
propose des ides cet gard.

Instaurer des contrles


techniques
Chaque entreprise doit mettre en place certains systmes
pour protger ses fonctions informatiques. Assurez-vous
de couvrir les fondements en installant des pare-feux et en
achetant des programmes anti-virus / anti-logiciel espion.
Nous discutons des mthodes de dfense dans le Chapitre 3.

Coordonner les lments


scuritaires
Vous disposez dun ventail de moyens de scurit pour vous
protger contre un ventail de failles. Tous ces contrles de
scurit doivent simbriquer afin que lensemble des contrles
de scurit, des pratiques des employs et des politiques
forment un front unifi pour protger votre entreprise. Le
Chapitre 3 prsente des informations supplmentaires sur le
fonctionnement combin de ces lments.

Connatre votre ennemi


Vous devez savoir comment travaillent les cybercriminels.
Et vous devez devancer les menaces mergentes, comme
les menaces Internet combines, afin de pouvoir former vos
72 Scurit Informatique Pour les Nuls

employs reconnatre ces menaces. Le Chapitre 4 couvre les


derniers conseils et les menaces.

Tirer parti du pouvoir de


linformatique in-the-cloud
Linformatique dans le nuage (in-the-cloud ou Cloud Computing)
vous permet dutiliser les ressources dun centre de donnes
partages, vous apporte un meilleur niveau de protection
et rduit limpact sur votre rseau et vos ressources
informatiques. Nous abordons ce sujet dans le Chapitre 5.
LES MENACES WEB SONT OMNIPRSENTES...
QUEL SOULAGEMENT DE POUVOIR COMPTER
SUR WORRY-FREE
De nos jours, les menaces de scurit sont partout Base sur notre technologie avance Smart
Avec un nouveau virus dtect toutes les 6 secondes, Protection Network, cette solution dtecte
il est plus que jamais essentiel de protger votre et neutralise les menaces en ligne, avant mme
productivit et votre crdibilit avec Trend Micro quelles natteignent votre entreprise.
Worry-Free Business Security. Plus sre et plus intelligente, elle libre votre
rseau des menaces de scurit.

SACHEZ DECRYPTER LES SIGNES


Tlchargez ds aujourdhui votre version dvaluation gratuite sur
www.trendmicro.fr/pme-pmi

2010 Trend Micro, Inc. Tous droits rservs. Trend Micro et le logo t-ball sont des marques commerciales
ou des marques dposes de Trend Micro Inc. Tous les autres noms de socit et/ou de produit sont des
marques commerciales ou marques dposes appartenant leur propritaire respectif.
Distinguez la ralit
de la fiction
Dcouvrez
Comment:
Formuler une
politique de scurit
Protgez-vous Constituter votre
des menaces informatiques dfense
Les menaces lies scurit informatique sont partout,
et de nouvelles semblent merger chaque jour. Mais, si Combattre en continu
vous tes une petite ou moyenne entreprise, vous les menaces
disposez de ressources limites pour protger vos
actifs de valeur. Ce livre vous indique les principes de
base dont vous avez besoin pour tre vraiment
protg. En prsentant les grandes menaces et leur
impact potentiel sur votre entreprise, il vous aide
crer une politique de scurit, constituer une
dfense coordonne, et surtout, mieux grer votre
scurit. Les cybercriminels voluent constamment en
utilisant de nouvelles mthodes dattaque. Voici
comment endiguer cette mare montante.

Des explications
pertinentes Allez sur
rapides @www.dummies.com!
Des informations
L'ESPRIT
Trouvez la liste de tous nos livres
tres aides
Des icnes et dau Faites votre choix parmi
la lecture
DES NULS diffrentes catgories de sujets
Un Top Ten Inscrivez-vous pour avoir des
humour
Une bonne dose d
astuces sur etips.dummies.com

Pour les nuls


Marque dpose de
ISBN: 978-0-470-66694-4
Revente interdite