04 Risque Informatique
Mise en place d’un traitement du risque informatique.
Introduction 2
1 Détermination des risques 2
1.1 Les risques provenant de l’extérieur 2
1.1.1 Virus et Internet 2
1.1.2 Cyber criminels 4
1.2 Les risques provenant de l’intérieur 4
1.2.1 Les employés – premier facteur de risque ? 5
1.2.2 Les intervenants externes 8
2 Protection des ressources 8
2.1 L’évaluation des risques 8
2.2 Les logiciels 10
2.2.1 Tableau comparatif des logiciels 10
2.2.2 EBIOS 10
3 Sensibilisation en interne 12
3.1 La responsabilité du chef d’entreprise 12
3.2 La contribution du personnel à l’amélioration de la sécurité 12
CONCLUSION 14
2
Introduction
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent
leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc
essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le
contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même
lors de l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter
au système d'information à partir de n'importe quel endroit, les personnels sont amenés
à « transporter » une partie du système d'information hors de l'infrastructure sécurisé
de l'entreprise.
7 chances sur 10 de faire faillite. Les entreprises jouent avec le feu !
Un ratio souvent cité est que 70% des PME, touchées par un incident de sécurité majeur
de leur système d’information, déposent leur bilan dans les 3 ans, soit le même ratio que
pour le cas d’un incendie important.
Et ce n’est pas tout. Environ 85% des entreprises françaises se pensent bien protégées
alors que seulement 1/4 de ces entreprises ont mis en place une politique de sécurité de
l’information.
1 Détermination des risques
1.1 Les risques provenant de l’extérieur
1.1.1 Virus et vers
Un virus informatique est un logiciel malveillant conçu pour se
propager à d'autres ordinateurs en s'insérant dans des programmes
légitimes appelés « hôtes ». Il peut perturber plus ou moins gravement
le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers
tout moyen d'échange de données numériques comme les réseaux
informatiques et les cédéroms, les clefs USB, etc.
Les logiciels espions (« spyware »). Lorsqu'un utilisateur consulte
licitement des sites Internet, il peut lire une page intéressante, mais qui
cache des parties malveillantes permettant à ces dangereux logiciels
espions de s'installer dans le poste de travail et de migrer sur le réseau
interne tout en communiquant des informations-clés vers l'extérieur.
Techniquement, ces pages dangereuses sont beaucoup plus difficiles à
détecter que les virus dans les mails.
3
Les 5 voies de contaminations d’un réseau sont
Le recours intensif à l’Internet a fait apparaître de nouvelles formes
d’actes malveillants, dont voici quelques exemples :
- le déni de service, qui se traduit par l’indisponibilité d’un site web.
Il se provoque en inondant et en saturant le serveur ou le réseau
par une masse énorme de messages rendant impossible l'accès
normal aux ressources. Ces messages proviennent le plus souvent
de réseaux de PC mal protégés, encore appelés « botnets ». Il s’agit
de réseaux de PC « zombies », dont l’auteur malveillant a pris le
contrôle. Ces réseaux peuvent comporter des dizaines de milliers
de PC, appartenant bien souvent à des propriétaires, qui n’ont pas
installé les mesures de sécurité élémentaires que sont des logiciels
« firewall » et des logiciels anti-virus ;
- L’altération: le remplacement de la page d'accueil d’un site web par
un renvoi automatique sur le site d'un concurrent ou sur un site à
caractère pornographique ;
- Le phishing : la méthode consiste en l’envoi d’un mail provenant,
par exemple, de votre banque qui vous demande de cliquer sur un
liens pour vous identifier sur le site internet afin de vérifier vos
identifiants. Ce dernier vous renvoie sur un site qui ressemble très
fortement à celui de votre banque, mais qui est en fait celui d’une
organisation malveillante, qui tentera ainsi de voler des données
4
personnelles (données d’identité de l’utilisateur, données relatives
à des comptes bancaires ou à des cartes de crédit, mots de passe,
etc.);
Il faut, tout d'abord, protéger le poste informatique avec un antivirus, antispam … et ensuite
protéger le réseau par un parefeu, il y a aussi des nombreux logiciels qui interceptent les
intrusions.
1.1.2 Cyber criminels
La cybercriminalité est une notion large qui regroupe « toutes les
infractions pénales susceptibles de se commettre sur ou au moyen d’un
système informatique généralement connecté à un réseau. »
Il s’agit donc d’une nouvelle forme de criminalité et délinquance qui se
distingue des formes traditionnelles en ce qu’elle se situe dans un
espace virtuel appelé le cyberespace. Depuis quelques années la
démocratisation de l’accès à l’informatique et la globalisation des
réseaux ont été des facteurs de développement du cybercrime.
On peut alors aujourd’hui regrouper la cybercriminalité en trois types
d’infractions :
Les infractions spécifiques aux technologies de l’information et de la
communication : parmi ces infractions, on recense les atteintes aux
systèmes de traitement automatisé de données, les traitements
automatisés de données personnelles (comme la cession des
information personnelles), les infractions aux cartes bancaires, les
chiffrements non autorisés ou non déclarés ou encore les
interceptions.
Les infractions liées aux technologies de l’informations et de la
communication : cette catégorie regroupe la pédopornographie,
l’incitation au terrorisme et à la haine raciale sur internet, les
atteintes aux personnes, les atteintes aux biens.
Les infractions facilitées par les technologies de l’information et de la
communication, que sont les escroqueries en ligne, la contrefaçon ou
tout autre violation de propriété intellectuelle.
Le risque pour une entreprise
1 piratage des données et vol de base de données (client, num carte
bleu pour les sites internets,
2 Perte de données suite à une attaque
Il faut protéger les postes, le réseau, il faut aussi sensibiliser les utilisateurs aux différents
risques possibles et établir un profil des utilisateurs.
1.2 Les risques provenant de l’intérieur
Les utilisateurs sont le premier facteur de risque, une fois les risques
techniques et technologiques écartés. En effet, si les habilitation d’accès ne
5
sont pas bien gérer ou inexistante, les utilisateurs peuvent faire ce qu’ils
veulent sur leur poste et sur le réseau de l’entreprise.
1.2.1 Les employés – premier facteur de risque ?
1.2.1.1 Les erreurs
a. Erreurs de saisie, de transmission et d’utilisation de l’information
On a tendance à sous-estimer les erreurs de saisie de données. Même
après vérification, elles atteignent couramment un taux de 0,5 %. A tort,
on les considère comme une conséquence inéluctable de l’activité
humaine, alors qu’elles sont à l’origine d’un nombre élevé de problèmes
et de pertes pouvant être importantes. De bons contrôles de
vraisemblance des données saisies sont une mesure indispensable.
La transmission de données, qu’elle se fasse par transport de supports
ou par télécommunications, est sujette à altération de données ou
détournements, sans compter les transmissions des mauvais fichiers.
b. Erreurs d’exploitation
Ces erreurs prennent des formes variées : effacement accidentel de
fichiers, supports ou copies de sauvegarde, chargement d’une version
incorrecte de logiciel ou de copie de sauvegarde, lancement d’un
programme inapproprié…
II est souvent difficile d’identifier la cause exacte de ces problèmes :
faute professionnelle, malveillance, erreur, négligence, laxisme, … Une
analyse pointue des processus et des éléments endogènes ou exogènes,
qui ont provoqué l’erreur, prendra du temps et risque d’être coûteuse
pour l’entreprise.
Le recours à des systèmes automatisés de gestion des applications
permet de réduire le rôle joué par les opérateurs humains et de faire
baisser le nombre de ces erreurs.
1.2.1.2 Malveillance
Les actes malveillants à l’encontre des systèmes d’information et de
communication, décrits ci-après, sont désormais des actes criminels
sanctionnés pénalement par la loi du 28 novembre 2000.
c. Vol et sabotage de matériel
Les vols portent principalement sur les petits matériels, tels que les
ordinateurs portables et les supports informatiques (disques de
serveurs, …). La disparition d’un PC ou d’un serveur peut être
lourde de conséquences au cas où celui-ci n’a pas fait l’objet d’une
copie de sauvegarde récente et complète ou encore lorsque celui-ci
contient des données ou programmes confidentiels.
Dans les grandes gares ou aéroports, il ne se passe pas de journée
sans qu’un ou plusieurs portables ne soient volés. Ces outils des
cadres contiennent le plus souvent des données confidentielles de
6
7
8
9
10
11
12
13
14
1
/
14
100%
