Vous êtes sur la page 1sur 17

SSI: LA SECURITE

DES SYSTEMES
D'INFORMATIONS
F.Hippolyte

C.Mayer

14.02.2011
TSGERI 11-02

Table des matières

SSI: sécurité des systèmes d'informations ............................................................................................ 3


I. Introduction:............................................................................................................................ 3
II. Les risques: .............................................................................................................................. 3
1. Les catégories de risques: ................................................................................................... 3
2. Les conséquences des risques ? ........................................................................................... 3
III. Bâtir une politique de sécurité ................................................................................................ 4
1. Définition: ........................................................................................................................... 4
2. Méthodes ............................................................................................................................. 5
IV. Cadre juridique: ....................................................................................................................... 5
V. confidentialité des données: ................................................................................................... 5
VI. Sensibilisation du personnel.................................................................................................... 7
1. La charte d'utilisation: ......................................................................................................... 7
2. Les 3 règles d’or de l’utilisateur: ......................................................................................... 7
VII. Sauvegarde des données:........................................................................................................ 8
VIII. Moyens de défense minimums: .......................................................................................... 9
1. Bloquer les attaques automatisées: ...................................................................................... 9
2. Eviter de laisser des brèches ouvertes: .............................................................................. 10
3. Limiter la prolifération virale: ........................................................................................... 10
4. Détecter les anomalies: ...................................................................................................... 10
5. Sécuriser les connexions sans fil: ...................................................................................... 11
6. Les attaques: petit lexique non exhaustif........................................................................... 11
IX. Barrières de sécurité: ............................................................................................................ 12
1. La DMZ (Demilitarized Zone, zone démilitarisée): .......................................................... 12
2. VPN (Virtual Private Network: Réseau Privé Virtuel) ..................................................... 12
X. La sécurité physique .............................................................................................................. 14
1. Introduction ....................................................................................................................... 14
2. Les risques ......................................................................................................................... 14
3. L’importance de l’emplacement ........................................................................................ 14
4. Stratégies pour les emplacements à risque ........................................................................ 14
5. Onduleur (UPS: Uninterruptible Power Supply) ............................................................... 15
XI. Conclusion: ............................................................................................................................ 17
XII. Documents de référence: ...................................................................................................... 17

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 2 /17
TSGERI 11-02

SSI: SECURITE DES SYSTEMES D'INFORMATIONS


I. INTRODUCTION:

Le besoin grandissant de communication a créé l’ère de l’informatique répartie et interconnectée au


travers du réseau Internet. Non seulement l’entreprise ne peut plus se passer de l’informatique pour son
fonctionnement interne, mais en plus son système d’information est accessible de l’extérieur pour lui
permettre un travail en réseau avec ses fournisseurs, donneurs d’ordre, partenaires et l’administration. Ce
besoin de communication tant interne qu’externe crée une vulnérabilité des systèmes internes de
l’entreprise vis-à-vis d’attaques potentielles. La généralisation des outils nomades (téléphones mobiles,
PDA, ordinateurs portables) accentue encore ces risques. Des mesures de protection homogènes sont donc
indispensables.

La mise en œuvre d’un plan de sécurité des systèmes d’information, et des


échanges, s’impose aujourd’hui à toutes les entreprises. La sécurité est liée à la
fiabilité du système d’information comprenant le réseau, les systèmes, les
applications, et le contenu. Mais, encore trop souvent, la dotation de solutions de
sécurité (produits ou services) est consécutive à des attaques majeures ayant
occasionné de graves dégâts pour l’entreprise. Pourtant, les investissements
nécessaires pour pallier ce risque sont de loin inférieurs aux conséquences
financières de ces attaques.

Les contre-mesures à mettre en œuvre ne sont pas uniquement des solutions techniques mais
également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble
de règles clairement définies.

Il faut donc bâtir une véritable politique de sécurité.

II. LES RISQUES:


Le risque en termes de sécurité est généralement caractérisé par l'équation suivante :

Risque = (Menace * Vulnérabilité) / Contre-Mesure

La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis
que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brèche) représente le niveau
d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des
actions mises en œuvre en prévention de la menace.

1. Les catégories de risques:


Les risques sont classés en quatre grandes catégories:

o Vol d’informations,
o Usurpation d’identité,
o Intrusions et utilisation de ressources systèmes,
o Mise hors service des systèmes et ressources informatiques.

2. Les conséquences des risques ?


De la perte de temps en passant par la possible perte de confiance des clients et partenaires, une
sécurité défaillante peut conduire à :

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 3 /17
TSGERI 11-02

o Une perte d’information et de données,


o Une perte d’image,
o Une mise en cause au plan légal.

Sans compter que cela peut entrainer une remise en cause des assurances générales de perte
d’activité ou spécifiques couvrant le risque de dommage post attaque.

Dans le rapport 2009 commandé par McAfee, sur la sécurité informatique en France, il ressort que:

o En 2008, une moyenne entreprise sur cinq a connu un incident de sécurité qui a directement
causé une perte de chiffre d’affaires de l’ordre de 27 000€ en moyenne, sans oublier les quelques jours
suivants pour reprendre une activité normale.
o 45% des informations perdues lors d’une attaque concerne des données jugées sensibles
(listings clients, relations avec les fournisseurs et les partenaires, plans, …).
o 70% des entreprises estiment qu’elles courent le risque de mettre la clé sous la porte si
leurs données font l’objet d’une violation grave.
o Seules 15% des entreprises françaises ont déclaré avoir été victimes d’une attaque (mais
quelle est le nombre exact d’intrusions et de vols de données qui n’ont pas été détectés et qui ont porté
préjudice à l’entreprise ?).

III. BATIR UNE POLITIQUE DE SECURITE

1. Définition:
Une politique de sécurité est un ensemble, formalisé dans un document applicable, d’éléments
stratégiques, de directives, procédures, codes de conduite, règles organisationnelles et techniques, ayant
pour objectif la protection du (des) système(s) d’information de l’organisme.

Bâtir une politique de sécurité, c’est un projet à long terme visant à mettre en œuvre une sécurité
adaptée aux usages, économiquement viable et conforme à la législation en vigueur.

Le plus souvent, il s’agira de bâtir une politique de sécurité prenant en compte les risques aussi bien
internes qu’externes, ainsi que la typologie du système d’information, la sécurité devant prendre en compte
la spécificité de chaque type de communication. Avant tout, il conviendra de répondre à ces trois questions
:

- Que dois-je protéger en priorité ? Quel est mon patrimoine informationnel ?

- Quels sont les risques que je cours (externes, internes)?

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 4 /17
TSGERI 11-02

- Quels sont les facteurs aggravants de risque ?

2. Méthodes
Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité. Voici une
liste non exhaustive des principales méthodes :

o MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux), mise


au point par le CLUSIF,
o MEHARI (MEthode Harmonisée d'Analyse de RIsques),
o EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise au point
par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information),
o La norme ISO 17799.
o OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation).

Exemple: Méthode MEHARI (https://www.clusif.asso.fr/fr/production/mehari/)

IV. CADRE JURIDIQUE:


Dans le cas où une entreprise est victime d’une "attaque" contre son système d’information, elle doit:

o Prendre toutes les mesures permettant de conserver la preuve des faits dont elle est victime
(copie physique du disque dur concerné (image), isoler sur un autre support le fichier de journalisation
(log) concerné, si possible après l’avoir daté et signé électroniquement….) et faire procéder à un constat
des opérations effectuées par un huissier de justice.
o Alerter les instances de sécurité des réseaux : informer le CERT-IST (le CERT-IST
recueille et diffuse les alertes pour les entreprises de l’industrie des services et du tertiaire)
o Déposer une plainte pénale.

V. CONFIDENTIALITE DES DONNEES:

Il est couramment admis que 80% des dommages au patrimoine informatique ou informationnel
de l’entreprise proviennent de malveillances internes, volontaires ou non. Certaines des données

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 5 /17
TSGERI 11-02

électroniques sont sensibles et font partie du patrimoine immatériel de l’entreprise. Elles doivent donc être
protégées.

a. Le contrôle de l’accès aux données et applications:


o Identification et Profil : Une organisation des profils utilisateurs et des moyens
d’identification de chacun d’entre eux est le minimum obligatoire pour éviter l’accès libre aux
informations.
o Droits d’accès : À chaque profil doivent être associés des droits d’accès liés aux
prérogatives de l'utilisateur (lecture seule, mise à jour, suppression, contrôle total….).
o Mots de Passe : Les mots de passe sont préférentiellement codés sur 8 caractères
alphanumériques changés régulièrement.
o Administration : elle permettra de contrôler l’accès au réseau de l’entreprise ou à chaque
poste de travail. Cela permettra, par exemple, de gérer aussi soigneusement les départs de personnels que
les entrées (les codes d’accès d’un salarié qui quitte l’entreprise doivent être immédiatement bloqués).

b. La sécurisation des échanges


o Risques. En cas de manque de solutions sécurisées, un tiers malveillant peut utiliser des
données sensibles à des fins frauduleuses et aux dépens de l'entreprise (usurpation d’identité ou de
coordonnées bancaires, espionnage industriel…).
o Echanges sur Internet: dans le cadre d’une utilisation "standard"
des moyens d’échanges électroniques de données sensibles (n° de carte bleue par
exemple) la politique minimale des sites consiste à passer du mode standard sur
Internet au mode sécurisé.
o Echanges de données critiques et confidentielles (fiscales,
juridiques, médicales, etc.…) ou liées au secret professionnel: la loi sanctionne la violation du secret
professionnel dans le cas où les solutions adéquates n’auraient pas été utilisées.

c. Les moyens de contrôle d'accès:


o La signature électronique:
Elle est formée de trois composantes

• le document porteur de la signature,

• la signature elle-même,

• le certificat électronique authentifiant le signataire.

o Le Chiffrement
Cela consiste à traiter une information par un procédé mathématique, de sorte que seules les
personnes possédant la clé appropriée puissent rétablir, lire et traiter ladite information.

Il existe 2 grandes catégories de chiffrement :

• Le chiffrement symétrique (aussi appelé chiffrement à clé privée ou


chiffrement à clé secrète) consiste à utiliser la même clef pour le chiffrement et pour le déchiffrement.

• Le chiffrement asymétrique (aussi appelé crypto-système à clés


publiques), est basé sur le principe que les clés existent par paires (on parle souvent de bi-clés): une clé
publique pour le chiffrement et une clé privée ou secrète pour le déchiffrement.

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 6 /17
TSGERI 11-02

o La Biométrie
C'est un moyen reconnu comme étant de plus en plus fiable pour vérifier l’identité électronique des
personnes mais les textes n’en prévoient pas encore l’usage de manière explicite.

VI. SENSIBILISATION DU PERSONNEL


La sécurité est l’affaire de chacun des employés. Une bonne politique de sécurité doit être partagée
et comprise par tous. La plus grande partie des brèches de sécurité sont le fait des salariés par ignorance ou
par intention frauduleuse (vol de données et transfert par Internet).

L'entreprise doit mettre en place une charte d'utilisation du système d'information et chaque
utilisateur doit être vigilent afin de ne pas permettre à un tiers de s'introduire sur le réseau.

1. La charte d'utilisation:
a. Objectif:
La mise en place d’une Charte assure la protection du système d’information, limite la
responsabilité de l’entreprise et de ses dirigeants et s’applique à tous les utilisateurs.

b. Nature juridique:
Cette charte a une valeur d’abord informative puis normative lorsqu’elle est acceptée par le salarié.
La Charte d’utilisation sera au choix :

o Une annexe du Règlement Intérieur (la mise en place de la Charte et sa modification


suivront la procédure applicable au Règlement Intérieur),
o Un document unilatéral qui peut prendre la forme d’une note interne et qui répond à une
procédure d’information (collective et individuelle) et de consultation mais qui renverra dans tous les cas
au Règlement Intérieur de l’entreprise pour les sanctions disciplinaires applicables en cas de violation.

2. Les 3 règles d’or de l’utilisateur:

a. Ne pas faire confiance à un tiers


Ne pas hésiter à demander des justifications complémentaires et en mettant en pratique
systématiquement le contre appel, même si tout laisse penser que ce tiers dispose de l’autorité nécessaire
(usurpation fréquente d’identité).

b. Préserver son identification.


Ne communiquer (ou laisser accessible) aucun mot de passe et code d’accès personnel.

Les préconisations d'usage pour le choix du mot de passe:

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 7 /17
TSGERI 11-02

o 8 caractères alpha numériques minimum, sans référence à l’état civil personnel ou de


personnes proches, (rajouter un caractère spécial et/ou mélanger minuscules et majuscules est souhaitable),
o Renouvellement tous les trois,
o Différent des trois occurrences précédentes.

c. Pratiquer librement l’autocensure:


Réserver au seul usage professionnel les moyens informatiques et le réseau de la société et accepter
de limiter l’accès à certains sites et le transfert de fichiers dangereux ou de taille importante.

o Eviter les téléchargements et installation sans autorisation. Faire valider toute installation
de matériel/ logiciel sur l’équipement bureautique.
o Respecter les règles de connexion depuis l’extérieur. Faire valider toute installation
pouvant permettre de se connecter sur le réseau interne depuis l’extérieur du périmètre de l’entreprise.

VII. SAUVEGARDE DES DONNEES:


a. Introduction:
Quelque soit la qualité des moyens de défense mis en œuvre (physique ou logiques) les données
peuvent être altérées sciemment ou accidentellement.

Les données et les applications informatiques doivent être disponibles "à tout moment" lorsqu’on en
a besoin, et doivent être conservées (sauvegardées) afin de pouvoir être récupérées (restauration) le
moment voulu.

Il convient par conséquent de :

o Définir une politique de sauvegarde,


o Définir des procédures de sauvegarde,
o Définir des procédures de restauration,
o Maintenir ces politiques et procédures.

b. Politique de sauvegarde :
Cette politique aura pour principal but de définir:

o Définir les périmètres à sauvegarder (services, matériels, sites, utilisateurs, …),


o Définir le type de données sauvegardées (fichiers utilisateurs, fichiers serveurs, documents
contractuels, emails, bases de données, …),
o Définir la fréquence et le type de sauvegarde,
o Définir le(s) lieu(x) et moyens de stockage des sauvegardes (lieux différents, armoires
ignifugées, …).

c. Les différents types de sauvegardes:


o Sauvegarde complète : C’est une méthode de type "annule » et « remplace". On écrase le
contenu de sauvegarde par la nouvelle information. Méthode très sûre mais longue si le volume est
important.
o Sauvegarde différentielle : C’est une méthode qui sauvegarde toutes les informations qui
ont été modifiées depuis la dernière sauvegarde complète.

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 8 /17
TSGERI 11-02

o Sauvegarde incrémentale : C’est une méthode qui ne sauvegarde que les informations qui
ont été modifiées depuis la dernière sauvegarde enregistrée sur le support.

Dans la plus part des cas, la sauvegarde sera mixte c'est-à-dire par exemple que l'on va effectuer une
sauvegarde soit différentielle soit incrémentielle du lundi soir au jeudi soir et la sauvegarde du vendredi
soir sera une sauvegarde totale.

Il existe d'autres types de sauvegarde tels que:

o Synchronisation d’équipements : C’est une méthode à mettre en place entre des


équipements nomades et des postes fixes d’un utilisateur donné. Elle s’active souvent manuellement.
o Duplication automatique: elle est utilisée pour des postes de travail en réseau: on fait une
image du disque sur un disque réseau. Simple d'utilisation, cette méthode ne garantit que les pertes dues à
des pannes matérielles et ne protège pas contre les risques de virus.

d. Conclusion:
Quelque soit le type de sauvegarde utilisé, la procédure doit inclure:

o Le contrôle régulier d’un journal des sauvegardes afin de vérifier qu’aucune anomalie n’ait
perturbé le bon fonctionnement des sauvegardes (support saturé par exemple),
o Un test régulier de la bonne récupération des données afin de s’assurer du bon
fonctionnement des sauvegardes.

VIII. MOYENS DE DEFENSE MINIMUMS:

La mise en œuvre de moyens de défense minimums doit permettre de :


o Bloquer les attaques automatisées,
o D’éviter de laisser des brèches ouvertes,
o De limiter la prolifération virale,
o De détecter les anomalies (les événements pouvant affecter la sécurité du système
d’information).

1. Bloquer les attaques automatisées:


Pour bloquer les attaques automatisées, on va utiliser un firewall (pare-feu)

Le rôle du firewall est de protéger le réseau de l’entreprise des intrusions extérieures. Il filtre la
couche IP qui sert à transporter les données circulant sur l’Internet, inspecte et/ou examine chaque paquet
IP afin de détecter les flux illicites, et les bloque avant qu’ils n’atteignent le réseau de l’entreprise (pare-feu
périmétriques et pare-feu applicatifs) ou du poste de travail (pare-feu personnel). Il peut prendre une forme
logicielle ou une forme de boîtiers appelés "Appliance".

Un des moyens de bloquer les attaques c'est aussi de masquer le réseau interne: c'est le rôle du
serveur Proxy qui va faire le relais au niveau des applications pour rendre les machines internes invisibles à
l'extérieur.

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 9 /17
TSGERI 11-02

2. Eviter de laisser des brèches ouvertes:


Le but est de se protéger des erreurs contenues dans les logiciels. Ces erreurs appelées vulnérabilités
peuvent permettre à une personne mal intentionnée de s'introduire sur une machine et de là accéder au
réseau.

Le meilleur moyen de se protéger est de faire les mises à jour de sécurité. Ces mises à jour sont
proposées régulières par les éditeurs de logiciel.

Il est toutefois recommander de tester son réseau et ses machines à la rechercher des vulnérabilités
potentielle à l'aide d'outils spécialisés, Nessus étant l'un des plus utilisé.

3. Limiter la prolifération virale:


A cette fin, on va tout naturellement utiliser un logiciel antivirus qui aura pour but de
protéger notre réseau des vers, des spams et autres chevaux de Troie qui pourraient le
contaminer.

L'antivirus peut être installé à trois endroits différents:

o Sur la passerelle d’accès Internet. Le principe est de réaliser un filtrage applicatif sur
l’ensemble des flux en clair (c’est-à-dire communications non chiffrées) qui transitent par la passerelle
Internet. En particulier cet anti-virus analysera les flux Web à la recherche de logiciels malveillants,
o Sur le serveur de messagerie. Le point névralgique de la communication d’entreprise est le
serveur de messagerie d’entreprise. Le choix de traiter la lutte anti-virale à ce niveau présente donc de
nombreux avantages : relative simplicité de mise en oeuvre, efficacité maximale sur les infections par e-
mail, ressources matérielles associées généralement limitées.
o Sur les postes personnels. La nécessité de disposer d’un anti-virus à jour sur chaque poste
de travail de l’entreprise s’impose : d’une part les protections anti-virales réseau ne sont pas infaillibles (les
fichiers chiffrés par exemple ne pourront jamais être analysés), d’autre part les usages personnels des
ordinateurs sont par définition incontrôlables (insertion de CD, utilisation d’une connexion à domicile, …).
L’usage est de combiner plusieurs de ces solutions, en essayant autant que possible de choisir deux
fournisseurs distincts pour favoriser les chances de détection de nouvelles souches. La solution minimum
est probablement le déploiement de l’anti-virus personnel, mais il sera raisonnable et confortable d’ajouter
rapidement un dispositif anti-virus sur le serveur de messagerie.

4. Détecter les anomalies:


a. Les anomalies:
o Une activité anormale: ce peut être des flux contraires aux règles préalablement
configurées (ex: scan de ports),
o Des traces (logs) anormales sur les fichiers des journaux d'activité du système,
o Une modification de configuration indue ou/et une intrusion.

b. Quelques types d'outils:


o IDS (Intrusion Detection System): c'est est un dispositif de sécurité détectant les tentatives
d’intrusion ou les événements suspects similaires sur un système informatique.
Ce type de produit est principalement proposé par Cisco et ISS. Il peut s’agir d’un logiciel ou d’un boîtier
externe (appliance).
o HIDS (Host based IDS): il surveille les intrusions sur un serveur,.
o NIDS (Network based IDS): il surveille l'activité des machines sur le réseau en capturant
les trames échangées. Un des NIDS les plus connu est Prelude Hybrid IDS.

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 10 /17
TSGERI 11-02

5. Sécuriser les connexions sans fil:


Nous allons évoquer les vulnérabilités liées aux connexions sans fil au travers de la liste de
recommandations suivantes:

o Sécuriser les points d’accès, les clients Wi-Fi et le compte administrateur et utiliser une
liste d’accès d’appareils autorisés.
o S’assurer que les mécanismes de sécurité intégrés et normalisés sont bien activés
(authentification, chiffrement WPA (Wi-Fi Protected Access) ou WPA2, liste d’équipements autorisés). La
conservation de la configuration par défaut des équipements Wi-Fi est aujourd’hui la principale cause de
compromission: elle est donc à bannir.
o Mettre à jour le logiciel des équipements Wi-Fi (nouvelles versions logicielles qui corrigent
les failles de sécurité).
o Etendre (et compléter) les services de sécurité déjà déployés sur le réseau filaire (exemple
par VPN, firewall…).
o Mettre en œuvre les outils et règles d’authentification et les politiques de sécurité.
o Différencier les utilisateurs Wi-Fi une fois qu’ils sont connectés.
o Informer et former les utilisateurs. Pour les appareils en mobilité, les fonctions de liaison
sans fil Wi-Fi doivent être désactivées par défaut et réactivées pour un usage ponctuel.
o Auditer le réseau : Un audit physique (s’assurer que le réseau sans fil ne diffuse pas
d’informations dans des zones non désirées et qu’il n’existe pas de réseau sans fil non désiré dans le
périmètre à sécuriser) et un audit informatique (s’assurer que le degré de sécurité obtenu est bien égal à
celui désiré).
o Surveiller le réseau : surveillance au niveau IP avec un système de détection d’intrusions
classique et surveillance au niveau physique (sans fil) avec des outils dédiés.

6. Les attaques: petit lexique non exhaustif


o Le cheval de Troie est un petit programme malveillant d’apparence anodine (jeu, petit
utilitaire...) qui, une fois installé dans un ordinateur, peut causer des dégâts comme un virus classique, ou
permettre de prendre le contrôle à distance de la machine.
o La backdoor (porte arrière) est un point d’entrée dans un programme ou un système, plus
ou moins secret. C’est généralement une sécurité pour débloquer un code d’accès perdu ou pour contrôler
les données lors du debuggage. C’est aussi l’un des points d’entrée des hackers, lorsqu’ils en
découvrent l’existence. Le hacker peut également créer lui-même cette porte pour l'utiliser dans un
deuxième temps.
o Le sniffing : c'est écouter une ligne de transmission par laquelle transitent des données pour
les récupérer à la volée. Cette technique peut-être utilisée en interne pour le débuggage ou de manière
abusive par un pirate cherchant, par exemple, à se procurer des mots de passe.
o Le spoofing : c'est une technique d’intrusion consistant à envoyer à un serveur d’une
entreprise, des messages (paquets) semblant provenir d'une adresse IP connue par le firewall (adresse
interne existante autorisée). Pour que la communication ne s’établisse pas avec la machine possédant
réellement cette adresse, le hacker doit dans le même temps rendre cette machine injoignable pour avoir le
temps d’intercepter les codes de communication et établir la liaison pirate.
o L'attaque par rebond est menée via un autre ordinateur qui se trouve involontairement
complice et qui expédie les messages d'attaque à la victime, masquant ainsi l'identité du véritable agresseur.

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 11 /17
TSGERI 11-02

o Dans l'attaque par le milieu le hacker se place entre deux ordinateurs en communication et
se fait passer pour un afin d'obtenir le mot de passe de l'autre. Dès lors, il peut se retourner vers le premier
avec un mot de passe valide et l'attaquer réellement.
o Le déni de service est une attaque cherchant à rendre un ordinateur hors service en le
submergeant de trafic inutile. Par exemple, un serveur entièrement occupé à répondre à des fausses
demandes de connexion. Plusieurs machines peuvent être à l'origine de cette attaque (généralement à l’insu
de leur propriétaire).
o Dans le cas des réseaux Wi-Fi, le war-driving consiste à circuler dans la ville avec un
ordinateur portable ou un PDA équipés d'une carte Wi-Fi pour repérer et pénétrer dans les réseaux locaux
mal protégés.
Il existe de nombreux logiciels conçus plus à cet effet qu'à un usage normal d'analyse de son
propre réseau.

IX. BARRIERES DE SECURITE:


Lorsque le réseau de l'entreprise est ouvert vers l'extérieur (exemple: site web, entreprise
possédant plusieurs succursales…), il convient de l'isoler en créant des barrières de sécurité.
La DMZ (zone démilitarisée) par faire office de tampon entre l'internet et le réseau interne. Le
VPN (Réseau Privé Virtuel) va sécuriser les communications inter-sites par exemple.

1. La DMZ (Demilitarized Zone, zone démilitarisée):


La DMZ est un sous réseau qui se positionne entre un réseau interne de confiance et l’Internet
public.

a. Objectif
Les éléments suspects (les flux transitant vers le réseau interne et depuis le réseau interne),
découverts par les équipements filtrants (firewalls, outils de détection et de filtrage de contenu), seront
redirigés dans la DMZ ("quarantaine") pour analyse.

b. Architecture.
Les serveurs installés sur la DMZ permettent de fournir des services au réseau externe, tout en
protégeant le réseau interne contre des intrusions possibles sur ces serveurs :

o Les serveurs Web (http), serveurs de fichiers (ftp), serveurs d’e-mails (SMTP) et serveurs
de noms (DNS)… : services offerts par l’entreprise au monde Internet et/ou ses employés et clients
o Les serveurs relais permettant d’assurer une communication indirecte entre le réseau local
et le monde Internet (proxy, relais SMTP, anti virus,…)

c. Mise en œuvre:
La DMZ est généralement créée par l’emploi d’un pare-feu, composé de trois interfaces réseau
(Internet, réseau interne, DMZ).

2. VPN (Virtual Private Network: Réseau Privé Virtuel)


a. Définition:
C’est un tunnel privé de communications chiffré entre l’entreprise et les entités ou personnes
dénommées avec qui elle échange des données qui a pour but de:

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 12 /17
TSGERI 11-02

o Fournir un accès distant après authentification aux personnes devant accéder aux ressources
de l'entreprise (commerciaux, télétravailleurs….). Selon les solutions, un logiciel spécifique est à déployer
sur les postes nomades, ou bien le cryptage est réalisé par les couches standards Windows.
o Interconnecter plusieurs sites entre eux, tout en offrant une ouverture sécurisée SSL vers
l’Internet.

b. Principe de fonctionnement:
Le principe du VPN est basé sur la technique du tunnelling. Cela consiste à construire un chemin
virtuel après avoir identifié l’émetteur et le destinataire. Ensuite la source chiffre les données et les
achemine en empruntant ce chemin virtuel.
Les données à transmettre peuvent appartenir à un protocole différent d’IP. Dans ce cas le
protocole de tunnelling encapsule les données en rajoutant un entête permettant le routage des
trames dans le tunnel. Le tunneling est l’ensemble des processus d’encapsulation, de transmission
et de désencapsulation.

c. Caractéristiques fondamentales d'un Vpn

Un système de Vpn doit pouvoir mettre en œuvre les fonctionnalités suivantes :

o Authentification d'utilisateur: seuls les utilisateurs autorisés doivent pouvoir s'identifier sur
le réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être
conservé.
o Gestion d'adresses: chaque client sur le réseau doit avoir une adresse privée. Cette adresse
privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et
recevoir une adresse.
o Cryptage des données: lors de leurs transports sur le réseau public les données doivent être
protégées par un cryptage efficace.
o Gestion de clés: les clés de cryptage pour le client et le serveur doivent pouvoir être
générées et régénérées.
o Prise en charge multiprotocole: la solution Vpn doit supporter les protocoles les plus
utilisés sur les réseaux publics en particulier Ip.

Le Vpn est un principe : il ne décrit pas l'implémentation effective de ces caractéristiques. C'est
pourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus standard, et même
considérés comme des normes.

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 13 /17
TSGERI 11-02

X. LA SECURITE PHYSIQUE
1. Introduction

La sécurité physique traite des aspects de la sécurité de l’ordinateur relatifs à la situation


physique de la machine ou de l’environnement où elle opère. La sécurité physique est importante
parce que les attaques physiques représentent la moitié des attaques qu’un système informatique
subi.

2. Les risques

Voici les principaux risques auxquels un ordinateur est exposé :


o Feu,
o Fumée,
o Poussière,
o Eau,
o Vol,
o Intrusions locales,
o Surtensions,
o …

3. L’importance de l’emplacement

Pour assurer la sécurité physique d’un système informatique un emplacement sûr doit être
choisi.

Les six règles de base suivantes doivent être respectées pour assurer la sécurité physique des
serveurs.
o Règle 1 : placer les serveurs dans une salle dédiée (Pas dans le sous-sol, pas de fenêtre, pas
de plomberie…)
o Règle 2 : sécuriser l’environnement (Barrer la porte, système d’alarme…)
o Règle 3 : sécuriser l’alimentation électrique (Circuit électrique séparé, UPS, verrouiller le
panneau électrique…)
o Règle 4 : installer un système de suppression d’incendie et une alarme d’incendie.
o Règle 5 : système de filtration de l’air.
o Règle 6 : système de contrôle de la température (Chauffage, climatisation…)

4. Stratégies pour les emplacements à risque

Malheureusement, il est parfois impossible d’appliquer les règles de la section précédente.


Dans les sections suivantes, des stratégies pour prévenir les catastrophes sont présentées.

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 14 /17
TSGERI 11-02

a. Prévenir les coupures de courant:


o Désactiver le bouton « reset » et « on-off » (Bios ou physiquement).
o Fixer les fils d’alimentation.
o Couvrir les fils d’un protecteur.

b. Prévenir les accès non-autorisés


o Enlever les périphériques comme le CD-ROM, disquette,…
o Utiliser un dispositif de verrouillage du CD-ROM, du port USB et du lecteur de disquette.

c. Prévenir le vol
o Verrouiller le boîtier (câble, cadenas, …);
o Verrouiller les bureaux;
o Système d’alarme pour PC.

5. Onduleur (UPS: Uninterruptible Power Supply)

Cette section présente brièvement une description du fonctionnement d’un onduleur avant
d’expliquer les calculs permettant de le choisir correctement.

a. Fonctionnement
Le rôle premier d'un onduleur est de protéger l'ordinateur des variations et des interruptions de
tension. En effet, suivant le lieu de résidence, les coupures (ou µcoupures) d'électricité, les baisses de
tension ou les surtensions sont plus ou moins fréquentes.

Ces défauts de tension entraînent l'arrêt ou le redémarrage soudain de la machine et de ses


périphériques. Ceci a pour conséquence de faire perdre les travaux en cours non sauvegardés et cela peut
parfois, à terme, endommager le matériel informatique.

La plupart des onduleurs actuels incluent des systèmes de protection contre la foudre et les
surtensions liées: il faut savoir que même si ces systèmes ne sont pas totalement inefficaces, ils ne
protègent pas rigoureusement et à 100% le matériel de ce phénomène.

Un onduleur est composé de trois grandes parties internes :

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 15 /17
TSGERI 11-02

o Un transformateur alternatif/continu suivi d'un chargeur de batterie qui permet de maintenir


la charge d'un accumulateur.
o La batterie (l'accumulateur).
o Un onduleur qui permet de transformer la tension continue issue de la batterie en tension
alternative compatible avec votre ordinateur.

En fonctionnement normal, l’onduleur délivre la tension secteur directement à l'ordinateur tant que
cette tension est correcte en termes de niveau. Dès que la tension passe en dessous d'un certain seuil,
l'onduleur va alors commuter sur la batterie interne.

Fonctionnement d'un onduleur.

b. Choix d’un onduleur


Le choix d’un onduleur se fait en fonction de la puissance totale consommée par les périphériques à
brancher et de l'autonomie souhaitée en cas de coupure totale du secteur.

Ainsi de manière plus précise, afin d'assurer une protection efficace en cas de coupure totale du
secteur, il convient de dimensionner la puissance de l'onduleur en fonction du matériel branché sur ce
dernier : en cas de dépassement des valeurs pour lesquelles l'onduleur a été conçu, la protection en cas de
coupure ne fonctionnera à priori pas correctement.

o Puissances moyennes à prévoir pour un onduleur (en VA) afin de brancher différents
périphériques :
Puissances approximatives
Elément
à prévoir

Poste de travail sans écran (PC) 150 VA


Ecran 14 / 15 " 80 VA
Ecran 17 " 180 VA
Ecran 19 " 250 VA
Ecran 21 " 300 VA
Imprimante jet d'encre classique 80 VA
Imprimante laser 1000 VA
Serveur 300 à 700 VA

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 16 /17
TSGERI 11-02

Bien entendu, il est nécessaire de faire la somme des puissances (en VA) des périphériques
branchés. Par exemple, un PC classique accompagné de son écran 15" peut être effectivement
branchés sur un onduleur de 300VA mais que ce même PC classique accompagné de son 17"
risque de légèrement dépasser la limite des 300VA.

XI. CONCLUSION:
Aujourd'hui la SSI est un des enjeux majeurs pour les entreprises car d'elle peut dépendre la
compétitivité, la crédibilité voire la survie de l'entreprise.

L'objectif de ce document a été d'aborder les différents points qui serviront à la réflexion pour mise
en place d'une politique de sécurité efficace.

Une des solution qui se dessine actuellement et que nous n'avons pas développé est l'externalisation
du stockage des données sensibles, voire des applications au travers du "cloud computing". Nous n'avons
pas abordé ce sujet car il est encore l'apanage des grandes sociétés.

En France, seulement 31% des entreprises se déclarent inquiètes des menaces issues du cybercrime
et 80% s'estiment plutôt bien protégées.

La plupart des entreprises font appel aujourd’hui à des prestataires pour leur besoin d’évolution et de
maintenance de leur système d’information. Il en va de même pour la sécurité, partie intégrante du système
d’information.

XII. DOCUMENTS DE REFERENCE:


o Guide de sensibilisation à la sécurisation du système d’information et du patrimoine
informationnel de l’entreprise- MEDEF –MAI2005
o http://www.securite-informatique.gouv.fr/gp_mot8.html
o http://sgill.ep.profweb.qc.ca/spip/spip.php?article4
o http://www.dgdr.cnrs.fr/FSD/securite-systemes/organisation.htm

Nom : Auteur : Groupe : Version : Date de mise à jour : Page


SSI sécurité informatique.doc Tsgeri 11-02 CM - FH 1.00 10/02/2011 17 /17