La sécurité,
	devrais-je m'y intéresser?

Introduction

Cet article, tiré du site web de Microsoft, vous donnera un aperçu de la sécurité informatique et vous expliquera comment évaluer les problèmes qui y sont liés. L'objectif est de donner au lecteur une idée générale des questions de sécurité, pas de détailler tous les dangers et moyens de contrôle.

La sécurité informatique est un concept très large dont les éléments seront abordés ici. Des failles dans la sécurité informatique peuvent provoquer des accès non autorisés à des ressources, une intrusion de virus, des vols de données ou une destruction des infrastructures technologiques. L'exposition médiatique a fait croire au public que la plupart des violations de sécurité étaient le fait de hackers, de personnes externes, alors que beaucoup d'actes non autorisés, dont des actes malveillants, sont effectués par des employés mécontents ou des "gens de l'intérieur". Ceci illustre l'importance de sécuriser les ressources informatiques contre les attaques extérieures et intérieures.

Qui est concerné ?
Il n'y a pas si longtemps, seules les grandes entreprises devaient se sentir concernées par les problèmes de sécurité informatique. Leurs efforts pour conserver leurs informations étaient leur principale préoccupation. Ce n'est plus le cas. La technologie est devenue tellement importante qu'elle affecte presque tous les aspects de la vie quotidienne. Les ordinateurs sont au cœur de la plupart des entreprises, depuis les systèmes utilisés dans les bourses de valeurs jusqu'au pages Web sportives qui présentent chaque jour les résultats de la nuit précédente. Toute personne qui a une carte de crédit ou qui utilise un distributeur automatique de billet (DAB) doit se sentir concernée par l'exactitude et le secret de ses informations personnelles et donc par la sécurité informatique.

Pourquoi faut-il être concerné ?
Beaucoup de facteurs ont provoqué une prise de conscience des questions de sécurité informatique. Les PC ne sont plus utilisés exclusivement au bureau. Le nombre de PC utilisés à la maison et pour les loisirs a très fortement augmenté. Les possesseurs d'ordinateurs à domicile prennent un accès Internet qui leur permet d'accéder à des ressources telles que le World Wide Web, les newsgroups et l'email. Les utilisateurs à domicile et les entreprises sont aussi attirés par le shopping online, (ou commerce électronique) parce que c'est pratique, simple et fiable. L'omniprésence et l'acceptation des ordinateurs a très fortement augmenté le nombre de personnes ayant la capacité de corrompre des données.

Avec les prix qui continuent à baisser et les gens qui sont de plus en plus à l'aise avec la technologie, la confiance que l'on porte aux ressources informatiques va continuer à augmenter. Et alors que les ordinateurs occupent une place de plus en plus importante, les problèmes de sécurité peuvent provoquer des catastrophes ayant des ramifications financières et légales. Au minimum, une faille de sécurité provoquera des pertes de temps et une perte de productivité pendant qu'une opération de nettoyage est en cours. Mais plus que probablement les résultats seront pires : des pertes financières aussi bien que des conséquences non financières. Par exemple, si un cabinet d'avocat a des fuites d'informations confidentielles et que des informations sont volées, il perdra toute sa crédibilité et ne pourra plus attirer le moindre client. Il peut également encourir des amendes ou une suspension du barreau.

Il faut également se sentir concerné en raison de la surabondance de messages de sécurité dans les listes de distribution, les newsgroups, les pages Web consacrées à des bulletins de sécurité. Toutes ces annonces peuvent provoquer de l'inquiétude aux responsables de sécurité informatique en raison de leur multitude et de l'incertitude quant à leur fiabilité. Déterminer quelles sont les bonnes sources d'informations de sécurité et éliminer les fausses alertes nécessite du temps et de la recherche.

Les objectifs de sécurité

Une sécurité informatique efficace repose sur 3 éléments principaux : confidentialité, intégrité et disponibilité.

Confidentialité
On appelle confidentialité le fait selon lequel l'information n'est pas accessible à ceux qui n'en ont pas l'autorisation. Des contrôles stricts doivent être mis en place pour assurer que seules les personnes ayant besoin d'accéder à certaines informations puissent y accéder. Dans certaines situations, telles que celles concernant des informations confidentielles et secrètes, les gens ne devraient avoir accès qu'aux données nécessaires à l'exercice de leur fonction. Beaucoup de crimes informatiques concernent des fuites et des vols d'informations confidentielles.
On appelle contrôle d'accès le fait de n'autoriser l'accès aux informations et aux ressources qu'à ceux qui en ont besoin.

La forme de contrôle d'accès la plus courante est l'utilisation de mots de passe et la forme la plus courante des infractions de sécurité concerne ces mots de passe. Exiger des mots de passe "forts", des cartes à puce ou des dispositifs de mots de passe à usage unique (tokens) est le premier pas pour empêcher des personnes non autorisées d'accéder à des informations sensibles et est la première barrière de défense du contrôle d'accès. Protéger ces mots de passe est l'un des principes fondamentaux de la sécurité informatique.

Imaginez que votre entreprise est un pavillon de banlieue typique. Un système de mots de passe peut être comparé à la clé de la porte d'entrée. Personne ne peut pénétrer dans la maison sans la clé, mais celle-ci peut facilement être perdue ou volée. La mise en place d'une politique de mots de passe résistants ne nécessite pas de compétences techniques et devrait être prise très au sérieux. Les entreprises devraient créer et mettre en place des politiques de sécurité informatique qui enseignent aux employés la manière de choisir un mot de passe, sa durée d'utilisation et sa confidentialité.

Un autre aspect du contrôle d'accès est la limitation des ressources disponibles pour un employé une fois qu'il a été authentifié sur le réseau d'entreprise. Par exemple, tout le département des ressources humaines peut avoir besoin d'accéder aux informations concernant les adresses et dates de naissances des salariés, mais seules certaines personnes dans le département ont besoin d'avoir accès aux informations salariales. De même certains peuvent être autorisés à voir les informations mais pas à les modifier. Ce contrôle d'accès très spécifique constitue une barrière de défense supplémentaire pour vos ressources informatiques. Le contrôle d'accès peut également être comparé à notre pavillon de banlieue. La femme de ménage à une clé de la porte d'entrée de façon à ce qu'elle puisse entrer et nettoyer, mais cette clé ne lui permet pas d'ouvrir la porte de votre bureau. De même la femme de ménage ne connaît pas la combinaison du coffre qui contient des documents importants.

Intégrité
L'intégrité assure que l'information ne peut être modifiée de manière inattendue. Une perte d'intégrité peut provenir d'une erreur humaine, d'une manipulation intentionnelle ou même d'une catastrophe. Les conséquences liées à l'utilisation d'informations inexactes peuvent être désastreuses. Des données, si elles ont été modifiées de façon incorrecte peuvent devenir inutiles, ou pire, dangereuses. Des efforts doivent être faits pour assurer l'exactitude et la solidité des données.

Lorsque la validité de l'information est critique, il est souvent utile de mettre en place des contrôles et des vérifications. Il peut être important de s'assurer que l'information est inutilisable si elle est volée. Le cryptage est le processus qui transforme l'information dans un format secret pour éviter que des personnes non autorisées puissent l'utiliser si elles arrivaient à s'en emparer.

Une politique de sécurité informatique bien équilibrée aura des composants proactifs et réactifs complémentaires. La partie proactive comprend l'utilisation de contrôles de sécurité forts, alors que l'approche réactive inclut l'analyse et la surveillance de ces contrôles. Dans cette approche, le composant proactif peut être un système configuré de façon appropriée qui enregistre tous les accès système dans un log. L'administrateur réseau exécute le composant réactif en vérifiant ces logs pour chercher une activité suspecte ou tout élément anormal. Il est nécessaire de prendre ces deux approches pour avoir un contrôle de sécurité efficace. Imaginez que chaque fois qu'une porte de votre maison est ouverte, l'heure et le nom de la personne soit enregistrés. Ainsi, si quelque chose manque dans une pièce, vous pouvez consulter le document d'enregistrement, voir qui était dans la pièce concernée et lui poser des questions.

Disponibilité
La disponibilité empêche les données d'être supprimées ou de devenir inaccessibles. Cela s'applique non seulement aux informations mais aussi aux machines en réseau ou à d'autres aspects de l'infrastructure technologique. L'impossibilité d'accéder à des ressources requises est appelée un refus de service. Des attaques intentionnelles contre des systèmes informatiques ont souvent pour but de désactiver l'accès aux données, et occasionnellement le but est le vol de ces données. Ces attaques sont lancées pour diverses raisons dont des motivations politiques et économiques. Dans certains cas, les comptes de courrier électronique sont inondés de messages non désirés, que l'on appelle des spams, pour protester contre quelque chose ou pour promouvoir une cause. En plus, ces attaques peuvent faire partie intégrale d'une action globale dont le but est par exemple de mettre à terre un système bancaire.

Assurer la sécurité physique d'un réseau ou d'un système est une des manières d'assurer sa disponibilité. En limitant l'accès physique aux machines ou aux sources de données critiques, les risques d'inaccessibilité seront réduits. Si le contact avec ces ressources est restreint, les accidents ainsi que les cas de malveillances internes diminueront également. De même, protéger le réseau électroniquement est important si beaucoup de points d'entrée existent. Par exemple, un firewall est un système qui se situe entre un réseau interne, ou intranet et un réseau externe tel que l'Internet. Le firewall régule et restreint quel type de données peuvent passer entre les deux réseaux.
Imaginez qu'à la base du chemin qui mène à votre maison il y ait une porte avec un gardien. Ce gardien agit comme un firewall, limitant ceux qui peuvent entrer sur le terrain. Donc, si votre enfant perd sa clé, l'intrus qui trouverait la clé ne pourrait entrer car le gardien l'empêcherait d'approcher.

Un autre aspect de la disponibilité est d'assurer que les ressources nécessaires sont utilisables quand et où elles sont nécessaires. Fournir des redondances systèmes, sous la forme de données, machines et sources d'électricité de secours assurera souvent la disponibilité. Le stockage de données critiques hors-site permettra de les récupérer en cas de problèmes. En plus des serveurs de secours permettront une poursuite du travail normal si la sécurité du réseau primaire est menacée. Si ces formes de sécurité assurent la disponibilité, il est important de protéger les données des intrus et de maintenir leur confidentialité. Si nous nous référons à notre exemple, supposons que vous gardiez des copies de vos documents importants (certificats de naissance, testament, actions, etc) dans un coffre à la banque. En cas de catastrophe dans votre maison, vous aurez toujours accès à ces documents.

Vous devez évaluer et formuler une stratégie de sécurité en vous focalisant sur ces trois objectifs. En fonction des besoins de votre entreprise, une importance différente devrait être accordée à chaque objectif. Par exemple, les politiques de sécurité d'un système de défense national placeront une très grande importance dans la confidentialité, les informations stratégiques devant être protégées. Le système de transfert de fonds d'une banque a un grand besoin d'intégrité, les comptes bancaires devant être justes. Enfin, un système d'urgence médicale mettra l'emphase sur la disponibilité, les informations et les ressources devant être disponibles en permanence et de partout.

Éléments à considérer
Lorsque vous développez une politique de sécurité, il faut prendre garde d'identifier et de comprendre les problèmes de sécurité appropriés et valides. Souvent des ressources peuvent être perdues car on réagit face à des canulars de haut niveau pendant que de réels problèmes de sécurité passent inaperçus.

Pour évaluer l'efficacité d'une politique de sécurité spécifique, les ressources à protéger doivent être analysées. Les informations stockées dans les ordinateurs vont de pair avec les données du domaine public, comme les numéros de téléphone, jusqu'à des données hautement sensibles, comme des codes génétiques. Il n'est ni pratique, ni possible de sécuriser toutes ces informations. Le but est de protéger les informations en fonction de leur valeur relative et de leur importance dans le processus de l'entreprise.

Une politique de sécurité informatique bien préparée devrait se concentrer sur le fait que les employés n'aient accès qu'aux informations dont ils ont besoin pour l'exercice de leur fonction. Ceux qui ont besoin de voir les informations devraient avoir l'autorisation, et seuls ceux qui ont besoin de les modifier devraient en avoir le droit. Contrôler qui a un accès en lecture seule assure que les informations telles que les salaires demeurent confidentielles. Contrôler qui a un droit d'écriture assure qu'une perte d'intégrité n'est pas le résultat d'une modification d'information. Si les bonus des employés sont basés sur les compensations, le fait de changer les informations de compensation provoquera des erreurs dans les bonus payés.

La première considération importante lors de la création des politiques de sécurité est le niveau de sensibilité des données que vous protégez. Par exemple, une base de données publique avec des numéros de téléphone n'a pas besoin de contrôles de sécurité sophistiqués. Il peut être peu pratique d'utiliser un matériel de cryptage très fort pour protéger les dates de naissance et adresses des employés sachant que les pertes financières ou en terme d'image au cas où les données sont corrompues ne seront pas plus importantes que le coût de mise en place de la sécurité.

Deuxièmement, les coûts relatifs, et pas seulement d'ordre financier, doivent être pris en compte. S'il faut prendre en compte le coût même de la solution, le temps et les efforts doivent aussi être calculés. Si la mise en place de la sécurité entrave les affaires de l'entreprise au point que les employés ne peuvent accomplir leur travail, alors il faut repenser cette sécurité. De même, si les données corrompues sont rendues publiques, la publicité négative et les pertes de marchés que vous subiriez doivent aussi être calculées.

Bien que beaucoup de problèmes de sécurité existent, un certain nombre d'entre eux ne sont pas valables. Il est difficile de déterminer lesquels sont réels et lesquels sont des leurres destinés à vous distraire de failles sécuritaires réelles. Par exemple, vous pourriez penser que vous installez un patch système alors que vous êtes en train d'installer un cheval de troie qui récupère des mots de passe. Un domaine dans lequel les canulars sont légions est celui des alertes au virus. Souvent les administrateurs sécurité passent plus de temps à discerner les canulars des alertes réelles, qu'à travailler sur les vrais problèmes. Les canulars prennent beaucoup de temps et coûtent chers. Des alertes validées envoyées par les équipes responsables des réponses aux incidents ont des adresses de réponses réelles et sont généralement signées électroniquement avec la clé de l'organisation. Vous ne devriez jamais installer un patch ou un fichier d'une source inconnue, et lorsque vous installez des patches validés, essayez-les toujours dans un environnement test auparavant.

Conclusion

Alors que les individus et les organisations partagent de plus en plus d'informations, communiquent de plus en plus par Internet, la vulnérabilité aux attaques ou aux intrusions augmente. Autorisations, contrôles d'accès, exigences de confidentialité sont quelques exemples des composants technologiques disponibles dans une politique de sécurité multi-niveau. D'autres composants importants sont la formation à la confidentialité des mots de passe, une politique de sécurité d'entreprise et une sécurité système physique. Plus les utilisateurs et administrateurs sécurité sont formés, moins il y a de chances que les canulars soient pris au sérieux et plus ces gens seront capables d'évaluer et de créer une politique de sécurité efficace. Dans un monde en pleine évolution technologique, tout le monde est la cible potentielle de crimes électroniques et doit se sentir concerné par la sécurité.