Mise en place d’un traitement du risque informatique. Introduction 2 1 Détermination des risques 1.1 Les risques provenant de l’extérieur 1.1.1 Virus et Internet 1.1.2 Cyber criminels 1.2 Les risques provenant de l’intérieur 1.2.1 Les employés – premier facteur de risque ? 1.2.2 Les intervenants externes 2 2 2 4 4 5 8 2 Protection des ressources 2.1 L’évaluation des risques 2.2 Les logiciels 2.2.1 Tableau comparatif des logiciels 2.2.2 EBIOS 8 8 10 10 10 3 Sensibilisation en interne 3.1 La responsabilité du chef d’entreprise 3.2 La contribution du personnel à l’amélioration de la sécurité 12 12 12 CONCLUSION 14 Introduction Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise. 7 chances sur 10 de faire faillite. Les entreprises jouent avec le feu ! Un ratio souvent cité est que 70% des PME, touchées par un incident de sécurité majeur de leur système d’information, déposent leur bilan dans les 3 ans, soit le même ratio que pour le cas d’un incendie important. Et ce n’est pas tout. Environ 85% des entreprises françaises se pensent bien protégées alors que seulement 1/4 de ces entreprises ont mis en place une politique de sécurité de l’information. 1 Détermination des risques 1.1 Les risques provenant de l’extérieur 1.1.1 Virus et vers Un virus informatique est un logiciel malveillant conçu pour se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés « hôtes ». Il peut perturber plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, etc. Les logiciels espions (« spyware »). Lorsqu'un utilisateur consulte licitement des sites Internet, il peut lire une page intéressante, mais qui cache des parties malveillantes permettant à ces dangereux logiciels espions de s'installer dans le poste de travail et de migrer sur le réseau interne tout en communiquant des informations-clés vers l'extérieur. Techniquement, ces pages dangereuses sont beaucoup plus difficiles à détecter que les virus dans les mails. 2 Les 5 voies de contaminations d’un réseau sont Le recours intensif à l’Internet a fait apparaître de nouvelles formes d’actes malveillants, dont voici quelques exemples : - le déni de service, qui se traduit par l’indisponibilité d’un site web. Il se provoque en inondant et en saturant le serveur ou le réseau par une masse énorme de messages rendant impossible l'accès normal aux ressources. Ces messages proviennent le plus souvent de réseaux de PC mal protégés, encore appelés « botnets ». Il s’agit de réseaux de PC « zombies », dont l’auteur malveillant a pris le contrôle. Ces réseaux peuvent comporter des dizaines de milliers de PC, appartenant bien souvent à des propriétaires, qui n’ont pas installé les mesures de sécurité élémentaires que sont des logiciels « firewall » et des logiciels anti-virus ; - L’altération: le remplacement de la page d'accueil d’un site web par un renvoi automatique sur le site d'un concurrent ou sur un site à caractère pornographique ; - Le phishing : la méthode consiste en l’envoi d’un mail provenant, par exemple, de votre banque qui vous demande de cliquer sur un liens pour vous identifier sur le site internet afin de vérifier vos identifiants. Ce dernier vous renvoie sur un site qui ressemble très fortement à celui de votre banque, mais qui est en fait celui d’une organisation malveillante, qui tentera ainsi de voler des données 3 personnelles (données d’identité de l’utilisateur, données relatives à des comptes bancaires ou à des cartes de crédit, mots de passe, etc.); Il faut, tout d'abord, protéger le poste informatique avec un antivirus, antispam … et ensuite protéger le réseau par un parefeu, il y a aussi des nombreux logiciels qui interceptent les intrusions. 1.1.2 Cyber criminels La cybercriminalité est une notion large qui regroupe « toutes les infractions pénales susceptibles de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau. » Il s’agit donc d’une nouvelle forme de criminalité et délinquance qui se distingue des formes traditionnelles en ce qu’elle se situe dans un espace virtuel appelé le cyberespace. Depuis quelques années la démocratisation de l’accès à l’informatique et la globalisation des réseaux ont été des facteurs de développement du cybercrime. On peut alors aujourd’hui regrouper la cybercriminalité en trois types d’infractions : Les infractions spécifiques aux technologies de l’information et de la communication : parmi ces infractions, on recense les atteintes aux systèmes de traitement automatisé de données, les traitements automatisés de données personnelles (comme la cession des information personnelles), les infractions aux cartes bancaires, les chiffrements non autorisés ou non déclarés ou encore les interceptions. Les infractions liées aux technologies de l’informations et de la communication : cette catégorie regroupe la pédopornographie, l’incitation au terrorisme et à la haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens. Les infractions facilitées par les technologies de l’information et de la communication, que sont les escroqueries en ligne, la contrefaçon ou tout autre violation de propriété intellectuelle. Le risque pour une entreprise 1 piratage des données et vol de base de données (client, num carte bleu pour les sites internets, 2 Perte de données suite à une attaque Il faut protéger les postes, le réseau, il faut aussi sensibiliser les utilisateurs aux différents risques possibles et établir un profil des utilisateurs. 1.2 Les risques provenant de l’intérieur Les utilisateurs sont le premier facteur de risque, une fois les risques techniques et technologiques écartés. En effet, si les habilitation d’accès ne 4 sont pas bien gérer ou inexistante, les utilisateurs peuvent faire ce qu’ils veulent sur leur poste et sur le réseau de l’entreprise. 1.2.1 Les employés – premier facteur de risque ? 1.2.1.1 Les erreurs a. Erreurs de saisie, de transmission et d’utilisation de l’information On a tendance à sous-estimer les erreurs de saisie de données. Même après vérification, elles atteignent couramment un taux de 0,5 %. A tort, on les considère comme une conséquence inéluctable de l’activité humaine, alors qu’elles sont à l’origine d’un nombre élevé de problèmes et de pertes pouvant être importantes. De bons contrôles de vraisemblance des données saisies sont une mesure indispensable. La transmission de données, qu’elle se fasse par transport de supports ou par télécommunications, est sujette à altération de données ou détournements, sans compter les transmissions des mauvais fichiers. b. Erreurs d’exploitation Ces erreurs prennent des formes variées : effacement accidentel de fichiers, supports ou copies de sauvegarde, chargement d’une version incorrecte de logiciel ou de copie de sauvegarde, lancement d’un programme inapproprié… II est souvent difficile d’identifier la cause exacte de ces problèmes : faute professionnelle, malveillance, erreur, négligence, laxisme, … Une analyse pointue des processus et des éléments endogènes ou exogènes, qui ont provoqué l’erreur, prendra du temps et risque d’être coûteuse pour l’entreprise. Le recours à des systèmes automatisés de gestion des applications permet de réduire le rôle joué par les opérateurs humains et de faire baisser le nombre de ces erreurs. 1.2.1.2 Malveillance Les actes malveillants à l’encontre des systèmes d’information et de communication, décrits ci-après, sont désormais des actes criminels sanctionnés pénalement par la loi du 28 novembre 2000. c. Vol et sabotage de matériel Les vols portent principalement sur les petits matériels, tels que les ordinateurs portables et les supports informatiques (disques de serveurs, …). La disparition d’un PC ou d’un serveur peut être lourde de conséquences au cas où celui-ci n’a pas fait l’objet d’une copie de sauvegarde récente et complète ou encore lorsque celui-ci contient des données ou programmes confidentiels. Dans les grandes gares ou aéroports, il ne se passe pas de journée sans qu’un ou plusieurs portables ne soient volés. Ces outils des cadres contiennent le plus souvent des données confidentielles de 5 l’entreprise. Le vol d'un portable peut également permettre de prendre connaissance des mots de passe et des informations nécessaires pour se connecter au réseau interne de l'entreprise. Le sabotage va de l’endommagement d’un appareil isolé aux attentats terroristes détruisant toute une infrastructure. L’utilisation de matériels hors standards du marché aggrave les conséquences d’un vol ou d’un sabotage dans la mesure où l’obtention de matériels de remplacement peut s’avérer plus difficile. Cette dimension du risque (diminution de sa capacité à réagir) devrait être prise en compte par les directeurs dans leurs choix technologiques. d. Fraudes La pratique des fraudes est aussi vieille que le monde. L’informatique y a cependant ajouté de nouvelles dimensions : - le montant moyen des fraudes informatiques est sensiblement plus élevé que celui des fraudes traditionnelles ; - le manque d’enregistrements visibles réduit les chances de détection par observation fortuite ; - les programmes et les données peuvent dans bien des cas être modifiés sans laisser de traces et être effacés avec une rapidité extrême. Il n’est pas rare qu’un fraudeur efface les fichiers comportant les traces de ses méfaits, ainsi que toutes ses copies de sauvegarde ; - la complexité de certains systèmes est telle que les utilisateurs ne disposent plus de la compétence requise pour vérifier l’exactitude des résultats produits ; - les contrôles organisationnels classiques (séparation de fonctions et de connaissances, doubles contrôles, …) ont été négligés lors de l’introduction des nouveaux systèmes ; - de nombreux systèmes informatiques ont été réalisés sans prendre la sécurité en compte lors de leur conception ; - le personnel technique peut contourner des contrôles essentiels. Les fraudes informatiques conduisent à des détournements de biens et de fonds. Elles peuvent également avoir pour conséquence le sabotage du fonctionnement : - des exécutants, que l’on induit en erreur (p.ex. livraison à des clients dont l’insolvabilité a été masquée, acceptation de risques tarés dans une compagnie d’assurances par manipulation de l’historique des sinistres, …) ; - des gestionnaires, en basant le contrôle de gestion sur des états incorrects, ce qui peut conduire à ne pas prendre des décisions qui s’imposeraient ou à prendre des décisions inappropriées qui pourraient avoir des conséquences désastreuses (p.ex. rentabilité des départements et produits, situations de trésorerie, …). 6 e. Sabotage immatériel Le sabotage immatériel concerne l’altération ou la destruction, totale ou partielle, des données, des programmes ou de leurs sauvegardes. Ses conséquences peuvent être aussi graves et parfois même davantage que celles d’un sinistre matériel, car il peut provoquer des destructions en profondeur et avoir pour effet de neutraliser pendant un temps long le fonctionnement du système informatique. Le sabotage immatériel recouvre diverses notions : - la modification non autorisée de programmes ; - les bombes logiques, qui sortent leurs effets destructeurs de données ou de programmes lors de la réalisation d’un événement (p.ex. survenance d’une date particulière, destruction de fichiers lorsque le matricule de l’auteur licencié disparaît du fichier du personnel,…). Une forme particulièrement dommageable de bombe logique consiste à altérer graduellement un nombre limité d’enregistrements d’une grande base de données. Lorsque le problème est découvert, parfois au terme de nombreux mois, il y a fort à parier que l’entreprise ne disposera plus d’aucune copie de sauvegarde fiable et devra procéder à un contrôle exhaustif et coûteux de l’entièreté de la base de données ; - les logiciels espions (« spyware »). Lorsqu'un utilisateur consulte licitement des sites Internet, il peut lire une page intéressante, mais qui cache des parties malveillantes permettant à ces dangereux logiciels espions de s'installer dans le poste de travail et de migrer sur le réseau interne tout en communiquant des informations-clés vers l'extérieur. Techniquement, ces pages dangereuses sont beaucoup plus difficiles à détecter que les virus dans les mails. f. Indiscrétion, détournement d’informations II s’agit d’actes qui ont pour effet que des personnes non autorisées ont accès aux informations maintenues par le système informatique. Ces informations peuvent être des données ou des programmes (correspondances, contrats, secrets industriels, plans commerciaux, calculs de prix de revient, offres, données personnelles, financières, médicales, …). Au fur et à mesure que des données de plus en plus confidentielles sont confiées à des ordinateurs, ceux-ci deviennent les cibles privilégiées de cette forme actuelle d’espionnage industriel. g. Grève, départ de personnel stratégique Le personnel est un maillon indispensable dans la chaîne qui assure le fonctionnement d’un système d’information. L’indisponibilité, une épidémie ou la disparition d’un membre de personnel-clé peut provoquer l’arrêt du système et par voie de conséquence celle de toute l’activité de l’entreprise. h. Ex : clé usb perdu par un militaire britannique 2008 7 Il faut savoir que plus de 70% des risques sont effectués par les utilisateurs internes à l'entreprise. Il faut donc vraiment sensibiliser les utilisateurs, faire des tests de comportements et protéger le réseau en cas qu'erreur. 1.2.2 Les intervenants externes Recours sous traitance et prestataire pour bon nombre de service, de se fait beaucoup de passage dans l’entreprise … Exemple : chinoise chez Valeo remonte a 2005 Chargé clientèle concurrent En cas d'intervention d'une personne extérieur sur le système informatique, il faut que ce dernier soit accompagné par un responsable qui, lui seul, aura les mots de passe ou créer un mot de passe provisoire pour l'intervenant. Personne d'autre que le propriétaire du poste informatique doit avoir accès au poste. 2 Protection des ressources 2.1 L’évaluation des risques Hiérarchiser la valeur des informations Pour définir le degré de valeur ajoutée de chaque hiérarchiser la valeur des informations selon. disponibilité et de leur intégrité. Attribuez ensuite documents à l’aide de profils utilisateurs selon leur dans l’entreprise. type de données, il faut L’importance de leur des droits d’accès aux degré de responsabilité En général, dans les entreprises : 5% de l’information est stratégique : toute information permettant de mettre à nu la valeur ajoutée de l’entreprise ou divulguant ses avantages compétitifs. 15 % de l’information est sensible : ensemble des données qui, associées et mises en cohérence, peuvent révéler une partie de l’information stratégique. 80% de l’information est divulgable (ouverte) : ensemble des données diffusables à l’extérieur de l’entreprise sans pour autant lui être préjudiciable. 8 Pour chaque menace, il convient ensuite d’estimer la probabilité qu’elle se concrétise. Source : Le CLUSIF (Club de la Sécurité de l’Information Français) 9 2.2 Les logiciels 2.2.1 Tableau comparatif des logiciels Le tableau suivant liste les principales normes utilisées provenant des organismes de normalisation internationaux ainsi que celles soutenues par le secteur privé ou associatif : Méthode Création Popularité EBIOS Auteur Soutenue par Pays Outils disponibles 1995 *** DCSSI gouvernement France logiciel gratuit Melisa Marion 1980 ** ** DGA CLUSIF armement association France France abandonnée abandonnée Mehari 1995 *** CLUSIF association France logiciel Risicare Octave 1999 ** Université de Carnegie Mellon universitaire Etats-Unis logiciel payant Cramm 1986 ** Siemens gouvernement Angleterre logiciel payant SPRINT BS 7799 1995 * *** ISF association Angleterre gouvernement Angleterre logiciel payant ISO 17799 *** international ISO 13335 international ISO 15408 international SCORE 2004 Ageris Consulting secteur privé France logiciel payant CALLIO 2001 CALLIO Technologies secteur privé Canada logiciel payant COBRA 2001 C & A Systems Security Limited secteur privé Angleterre logiciel payant ISAMM 2002 Evosec secteur privé Belgique RA2 2000 aexis secteur privé Allemagne logiciel payant 2.2.2 EBIOS EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoin de l'entreprise (ou d'une administration). Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), du Ministrère de la Défence (France). Elle est destinée avant tout aux administrations françaises et aux entreprises. Les 5 étapes de la méthode EBIOS 1. 2. 3. 4. 5. étude du contexte expression des besoins de sécurité étude des menaces identification des objectifs de sécurité détermination des exigences de sécurité 10 L'étude du contexte permet d'identifier quel système d'information est la cible de l'étude. L'expression des besoins de sécurité permet d'estimer les risques et de définir les critères de risque L'étude des menaces permet d'identifier les risques en fonction non plus des besoins des utilisateurs mais en fonction de l'architecture technique du système d'information. L'identification des objectifs de sécurité confronte les besoins de sécurité exprimés et les menaces identifiées afin de mettre en évidence les risques contre lesquels le système informatique doit être protégé. La détermination des exigences de sécurité permet de déterminer jusqu'où on devra aller dans les exigences de sécurité. Il est évident qu'une entreprise ne peut faire face à tout type de risques, certains doivent être acceptés afin que le coût de la protection ne soit pas exorbitant. Démarche EBIOS globale Afin de protéger les ressources, il faut tout d'abord mettre en place un système de sauvegarde adéquate (sauvegarde en interne ou sauvegarde en externe). En cas de sauvegarde en interne un contrôle régulier des locaux doit être établit afin d'éviter tous risques (incendies). Un officier de sécurité peut être nécessaire afin de déléguer les droits, il répartira donc les droits de chaque utilisateur. 11 3 Sensibilisation en interne 3.1 La responsabilité du chef d’entreprise Une sécurité informatique de niveau adéquat ne peut se concevoir sans que l'autorité suprême de l'entreprise ne s'implique dans les processus de sécurité et de gestion des risques. Le chef d'entreprise doit, bien sûr, se préoccuper de la bonne sécurité informatique au même titre que les autres aspects qualité des activités de son entreprise. Les défaillances de sécurité informatique peuvent avoir des conséquences graves, tant pénales que civiles, et impliquer directement la responsabilité du chef d'entreprise. C'est notamment le cas lorsque les défauts de sécurité informatique entraînent des dommages à des tiers. Article 1383 du Code Civil : "Chacun est responsable du dommage qu'il a causé non seulement par son fait mais encore par sa négligence ou par son imprudence" Code Pénal - Article 34 de la loi du 6 janvier 1978 (Informatique et Libertés) : "Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés y aient accès" Le responsable fait signer à chaque utilisateur une chartre de confidentialité et s'assure que les mots de passe changent régulièrement afin d'éviter des intrusions par d'autres personnes. 3.2 La contribution du personnel à l’amélioration de la sécurité Chacun peut et doit contribuer à la sécurité informatique. La politique de sécurité et les procédures doivent être formalisées dans un ou plusieurs documents suffisamment diffusés. Ces documents (polices de sécurité) doivent induire le comportement individuel par une description adéquate des rôles et responsabilités, des droits et devoirs qui incombent à chacun. Afin de prouver la bonne information, on pourra exiger un accusé de réception du document de chaque membre du personnel. Pour toutes les données revêtant un caractère de confidentialité, il sera exigé un engagement individuel et explicite de confidentialité. Tous les employés doivent être avertis de ce qu'une simple imprudence peut entraîner des conséquences majeures pour l'entreprise. La lecture inconsidérée d'une disquette ou d'un CD-ROM ou une connexion extérieure par modem, par exemple, peut introduire un virus qui va affecter le site Internet, par migration dans le réseau. Plus pernicieux que les virus, les « chevaux de Troie » sont de petits programmes qui désactivent certaines protections internes du réseau ou ajoutent des mots de passe de manière à ouvrir les portes pour une attaque majeure des systèmes par l'extérieur. 12 La Charte informatique ou code de bonne conduite L'objet d'une charte informatique est d'encadrer l'utilisation par les salariés du matériel informatique mis à leur disposition (ordinateur, messagerie électronique, internet, intranet…). La charte informatique va notamment permettre d'assurer un équilibre entre différents impératifs : · d'une part, les impératifs de l'employeur concernant la sécurité de ses systèmes d'information et de ses réseaux, l'intégrité, la disponibilité et la confidentialité des données qui y sont traitées, mais également la défense de ses intérêts légitimes, que ce soit en cas d'usage frauduleux ou inapproprié, par ses salariés, de ses outils informatiques (responsabilité civile, voire pénale) ou tout simplement pour ne pas subir, en raison du comportement de certains salariés, une baisse de productivité ; · d'autre part, le respect de la vie privée des salariés compte tenu de la reconnaissance d'un droit au respect de la vie privée du salarié sur le lieu de travail qui trouve son expression notamment lors de l'usage de l'ordinateur mis à disposition et de l'accès aux réseaux.. Il est, en pratique, nécessaire ou, en tout cas, vivement recommandé d'encadrer par écrit l'utilisation par les salariés des outils informatiques et de l'accès aux réseaux dans le cadre d'une « charte informatique ». Celle-ci va permettre de fixer ces règles d'utilisation, de définir les modalités de contrôle par l'employeur et d'informer les salariés sur leurs droits et obligations. Il sensibilise l'ensemble du personnel avec des plusieurs formations dans l année sur la securité, la direction ainsi que les salariés. 13 CONCLUSION La meilleure sécurité n'est pas atteinte par une pléthore de moyens techniques tels qu’antivirus, firewalls ou autres systèmes. Il existe un juste compromis entre les risques potentiels et les mesures de sécurité à prendre pour les éviter ou les réduire. Comme en matière d'assurances, il existe des risques qu'il est raisonnable de ne pas couvrir. La politique de sécurité informatique a donc aussi pour objectif de définir le niveau de sécurité raisonnable, en tenant compte notamment des impacts potentiels et des coûts nécessaires pour les éviter. Ce niveau de sécurité est à définir selon de multiples critères, notamment le contexte et les possibilités humaines, financières ou technologiques. Les critères à prendre en considération sont donc propres à chaque entreprise. 14