Module 8 – Discovery 2 version 4.1
Module 8 – Discovery 2 version 4.1 - Page 1 sur 52
Responsabilités des
fournisseurs de
services Internet
1 Considérations sur la sécurité des fournisseurs de
services Internet
1.1 Services de sécurité de FAI
Toute connexion Internet active peut transformer l’ordinateur qui l’utilise en cible d’activité
malveillante. Un programme malveillant, comme un virus, un ver ou un logiciel espion, peut
vous atteindre par l’intermédiaire d’un courriel ou d’un téléchargement depuis un site Web.
Des problèmes à l’origine de pannes massives chez les FAI proviennent souvent de systèmes
non sécurisés chez les clients du FAI.
Module 8 – Discovery 2 version 4.1 - Page 2 sur 52
Si le fournisseur de services Internet héberge des sites Web ou de commerce électronique, il
peut disposer de fichiers confidentiels contenant des données financières ou des informations
de comptes bancaires stockés sur ses serveurs. Le FAI est tenu de stocker les données de ses
clients de manière sécurisée.
Les FAI jouent un rôle important en matière de protection des utilisateurs privés et
professionnels qui utilisent leurs services. Les services de sécurité qu’ils fournissent protègent
également les serveurs qui sont installés dans les locaux du fournisseur de services. Les
fournisseurs de services sont souvent sollicités par leurs clients pour les aider à sécuriser leurs
réseaux locaux et leurs stations de travail afin de réduire les risques d’atteinte à leur intégrité.
De nombreuses mesures peuvent être prises à la fois sur les sites des clients et du FAI pour
sécuriser les systèmes d’exploitation, les données stockées sur les systèmes d’exploitation et
les données échangées entre systèmes informatiques.
Si un FAI fournit des services d’hébergement de sites Web ou de messagerie à un client, il est
important qu’il protège également ces informations contre les attaques. Cette protection peut
être compliquée car les FAI utilisent souvent un même serveur, ou une grappe de serveurs,
pour gérer des données appartenant à plusieurs clients.
Pour aider à empêcher les attaques contre ces données, de nombreux FAI proposent des
services de sécurité à leurs clients. Une part importante du travail d’un technicien de support
technique sur site consiste à mettre en œuvre des méthodes recommandées en matière de
sécurité sur les ordinateurs clients. Parmi les services de sécurité qu’un technicien de support
technique de FAI peut fournir figurent :
Aider les clients à créer des mots de passe pour les périphériques
Sécuriser les applications à l’aide de correctifs et de mises à niveau de logiciels
Supprimer toutes les applications et services inutiles susceptibles de constituer autant
de failles
Veiller à ce que les applications et les services soient accessibles exclusivement aux
utilisateurs qui en ont besoin
Configurer des pare-feu et des logiciels antivirus
Exécuter des balayages de sécurité sur les logiciels et les services afin de déterminer
les failles que le technicien devra protéger contre les attaques
Module 8 – Discovery 2 version 4.1 - Page 3 sur 52
1.2 Pratiques de sécurité
Il est essentiel que les FAI aient mis en place des mesures pour protéger les informations de
leurs clients contre les attaques. Les fonctionnalités et procédures courantes en matière de
sécurité des données sont les suivantes :
Chiffrer les données stockées sur les disques durs des serveurs
Utiliser des autorisations pour sécuriser l’accès aux fichiers et aux dossiers
Autoriser ou interdire l’accès en fonction du compte d’utilisateur ou de l’adhésion à un
groupe
Attribuer différents niveaux d’autorisation d’accès en fonction du compte d’utilisateur
ou de l’adhésion à un groupe
La règle d’or en matière d’attribution d’autorisations d’accès à des fichiers et à des dossiers
consiste à en accorder le moins possible. Cela revient à donner aux utilisateurs l’accès aux
seules ressources nécessaires à l’exercice de leurs fonctions. Cela signifie également donner
un niveau d’autorisation approprié, notamment un accès en lecture seule ou en écriture.
Module 8 – Discovery 2 version 4.1 - Page 4 sur 52
Le processus AAA (authentification, autorisation et comptabilisation) est un processus en
trois étapes utilisé par les administrateurs réseau pour compliquer aux utilisateurs mal
intentionnés la tâche d’accéder à un réseau.
L’authentification nécessite que l’utilisateur prouve son identité à l’aide d’un nom
d’utilisateur et d’un mot de passe. Les bases de données d’authentification sont généralement
stockées sur des serveurs qui utilisent les protocoles RADIUS ou TACACS.
L’autorisation donne à un utilisateur le droit d’utiliser des ressources spécifiques et
d’effectuer des tâches précises.
La comptabilisation consiste à observer l’utilisation et la durée d’utilisation des applications.
Module 8 – Discovery 2 version 4.1 - Page 5 sur 52
Par exemple, l’authentification confirme qu’un utilisateur nommé « participant » existe et est
autorisé à ouvrir une session. Les services d’autorisation spécifient qu’un utilisateur
participant est autorisé à accéder au serveur hôte XYZ via Telnet. Le service de
comptabilisation note que l’utilisateur participant a accédé au serveur hôte XYZ via Telnet tel
jour, pendant 15 minutes.
Le processus AAA peut être utilisé sur différents types de connexions réseau. Il nécessite une
base de données pour conserver la trace des informations d’identification, des autorisations et
des statistiques de compte des utilisateurs. L’authentification locale est la forme la plus simple
de processus AAA et utilise une base de données locale sur le routeur passerelle. Si une
organisation compte de nombreux utilisateurs authentifiés AAA, cette organisation doit
utiliser une base de données sur un serveur distinct.
1.3 Chiffrement des données
Les FAI doivent aussi se soucier de sécuriser les données qui sont transmises à destination et
en provenance de leurs serveurs. Par défaut, les données envoyées via le réseau sont
transmises en texte brut et ne sont pas sécurisées. Des individus non autorisés peuvent donc
intercepter des données non sécurisées pendant leur transmission. L’interception des données
en transit contourne tous les mécanismes de sécurité du système de fichiers mis en place sur
les données. Certaines méthodes permettent de se prémunir de cette faille de sécurité.
Chiffrement
Le chiffrement numérique est un processus consistant à chiffrer toutes les données transmises
entre le client et le serveur. Nombre de protocoles de transmission des données offrent une
version sécurisée reposant sur le chiffrement numérique. Au titre de méthode recommandée,
utilisez la version sécurisée d’un protocole lorsque les données échangées entre deux
ordinateurs sont confidentielles.
Par exemple, si un utilisateur doit soumettre un nom d’utilisateur et un mot de passe pour
ouvrir une session sur un site Web de commerce électronique, un protocole sécurisé est requis
pour protéger le nom d’utilisateur et le mot de passe contre les tentatives d’interception. Des
protocoles sécurisés sont également requis pour toute soumission d’informations de carte ou
de compte bancaires.
Pour naviguer sur Internet et consulter des sites Web en accès public, la sécurisation des
données transmises est inutile. L’utilisation d’un protocole sécurisé dans ce cas de figure peut
augmenter les temps de réponse et les volumes de calcul.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
1
/
52
100%
