04 Risque Informatique

publicité
Mise en place d’un traitement du risque informatique.
Introduction
2
1
Détermination des risques
1.1 Les risques provenant de l’extérieur
1.1.1 Virus et Internet
1.1.2 Cyber criminels
1.2 Les risques provenant de l’intérieur
1.2.1 Les employés – premier facteur de risque ?
1.2.2 Les intervenants externes
2
2
2
4
4
5
8
2
Protection des ressources
2.1 L’évaluation des risques
2.2 Les logiciels
2.2.1 Tableau comparatif des logiciels
2.2.2 EBIOS
8
8
10
10
10
3
Sensibilisation en interne
3.1 La responsabilité du chef d’entreprise
3.2 La contribution du personnel à l’amélioration de la sécurité
12
12
12
CONCLUSION
14
Introduction
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent
leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc
essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le
contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même
lors de l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter
au système d'information à partir de n'importe quel endroit, les personnels sont amenés
à « transporter » une partie du système d'information hors de l'infrastructure sécurisé
de l'entreprise.
7 chances sur 10 de faire faillite. Les entreprises jouent avec le feu !
Un ratio souvent cité est que 70% des PME, touchées par un incident de sécurité majeur
de leur système d’information, déposent leur bilan dans les 3 ans, soit le même ratio que
pour le cas d’un incendie important.
Et ce n’est pas tout. Environ 85% des entreprises françaises se pensent bien protégées
alors que seulement 1/4 de ces entreprises ont mis en place une politique de sécurité de
l’information.
1 Détermination des risques
1.1 Les risques provenant de l’extérieur
1.1.1 Virus et vers
Un virus informatique est un logiciel malveillant conçu pour se
propager à d'autres ordinateurs en s'insérant dans des programmes
légitimes appelés « hôtes ». Il peut perturber plus ou moins gravement
le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers
tout moyen d'échange de données numériques comme les réseaux
informatiques et les cédéroms, les clefs USB, etc.
Les logiciels espions (« spyware »). Lorsqu'un utilisateur consulte
licitement des sites Internet, il peut lire une page intéressante, mais qui
cache des parties malveillantes permettant à ces dangereux logiciels
espions de s'installer dans le poste de travail et de migrer sur le réseau
interne tout en communiquant des informations-clés vers l'extérieur.
Techniquement, ces pages dangereuses sont beaucoup plus difficiles à
détecter que les virus dans les mails.
2
Les 5 voies de contaminations d’un réseau sont
Le recours intensif à l’Internet a fait apparaître de nouvelles formes
d’actes malveillants, dont voici quelques exemples :
- le déni de service, qui se traduit par l’indisponibilité d’un site web.
Il se provoque en inondant et en saturant le serveur ou le réseau
par une masse énorme de messages rendant impossible l'accès
normal aux ressources. Ces messages proviennent le plus souvent
de réseaux de PC mal protégés, encore appelés « botnets ». Il s’agit
de réseaux de PC « zombies », dont l’auteur malveillant a pris le
contrôle. Ces réseaux peuvent comporter des dizaines de milliers
de PC, appartenant bien souvent à des propriétaires, qui n’ont pas
installé les mesures de sécurité élémentaires que sont des logiciels
« firewall » et des logiciels anti-virus ;
-
L’altération: le remplacement de la page d'accueil d’un site web par
un renvoi automatique sur le site d'un concurrent ou sur un site à
caractère pornographique ;
-
Le phishing : la méthode consiste en l’envoi d’un mail provenant,
par exemple, de votre banque qui vous demande de cliquer sur un
liens pour vous identifier sur le site internet afin de vérifier vos
identifiants. Ce dernier vous renvoie sur un site qui ressemble très
fortement à celui de votre banque, mais qui est en fait celui d’une
organisation malveillante, qui tentera ainsi de voler des données
3
personnelles (données d’identité de l’utilisateur, données relatives
à des comptes bancaires ou à des cartes de crédit, mots de passe,
etc.);
Il faut, tout d'abord, protéger le poste informatique avec un antivirus, antispam … et ensuite
protéger le réseau par un parefeu, il y a aussi des nombreux logiciels qui interceptent les
intrusions.
1.1.2 Cyber criminels
La cybercriminalité est une notion large qui regroupe « toutes les
infractions pénales susceptibles de se commettre sur ou au moyen d’un
système informatique généralement connecté à un réseau. »
Il s’agit donc d’une nouvelle forme de criminalité et délinquance qui se
distingue des formes traditionnelles en ce qu’elle se situe dans un
espace virtuel appelé le cyberespace. Depuis quelques années la
démocratisation de l’accès à l’informatique et la globalisation des
réseaux ont été des facteurs de développement du cybercrime.
On peut alors aujourd’hui regrouper la cybercriminalité en trois types
d’infractions :
Les infractions spécifiques aux technologies de l’information et de la
communication : parmi ces infractions, on recense les atteintes aux
systèmes de traitement automatisé de données, les traitements
automatisés de données personnelles (comme la cession des
information personnelles), les infractions aux cartes bancaires, les
chiffrements non autorisés ou non déclarés ou encore les
interceptions.
Les infractions liées aux technologies de l’informations et de la
communication : cette catégorie regroupe la pédopornographie,
l’incitation au terrorisme et à la haine raciale sur internet, les
atteintes aux personnes, les atteintes aux biens.
Les infractions facilitées par les technologies de l’information et de la
communication, que sont les escroqueries en ligne, la contrefaçon ou
tout autre violation de propriété intellectuelle.
Le risque pour une entreprise
1 piratage des données et vol de base de données (client, num carte
bleu pour les sites internets,
2 Perte de données suite à une attaque
Il faut protéger les postes, le réseau, il faut aussi sensibiliser les utilisateurs aux différents
risques possibles et établir un profil des utilisateurs.
1.2 Les risques provenant de l’intérieur
Les utilisateurs sont le premier facteur de risque, une fois les risques
techniques et technologiques écartés. En effet, si les habilitation d’accès ne
4
sont pas bien gérer ou inexistante, les utilisateurs peuvent faire ce qu’ils
veulent sur leur poste et sur le réseau de l’entreprise.
1.2.1 Les employés – premier facteur de risque ?
1.2.1.1 Les erreurs
a. Erreurs de saisie, de transmission et d’utilisation de l’information
On a tendance à sous-estimer les erreurs de saisie de données. Même
après vérification, elles atteignent couramment un taux de 0,5 %. A tort,
on les considère comme une conséquence inéluctable de l’activité
humaine, alors qu’elles sont à l’origine d’un nombre élevé de problèmes
et de pertes pouvant être importantes. De bons contrôles de
vraisemblance des données saisies sont une mesure indispensable.
La transmission de données, qu’elle se fasse par transport de supports
ou par télécommunications, est sujette à altération de données ou
détournements, sans compter les transmissions des mauvais fichiers.
b. Erreurs d’exploitation
Ces erreurs prennent des formes variées : effacement accidentel de
fichiers, supports ou copies de sauvegarde, chargement d’une version
incorrecte de logiciel ou de copie de sauvegarde, lancement d’un
programme inapproprié…
II est souvent difficile d’identifier la cause exacte de ces problèmes :
faute professionnelle, malveillance, erreur, négligence, laxisme, … Une
analyse pointue des processus et des éléments endogènes ou exogènes,
qui ont provoqué l’erreur, prendra du temps et risque d’être coûteuse
pour l’entreprise.
Le recours à des systèmes automatisés de gestion des applications
permet de réduire le rôle joué par les opérateurs humains et de faire
baisser le nombre de ces erreurs.
1.2.1.2 Malveillance
Les actes malveillants à l’encontre des systèmes d’information et de
communication, décrits ci-après, sont désormais des actes criminels
sanctionnés pénalement par la loi du 28 novembre 2000.
c.
Vol et sabotage de matériel
Les vols portent principalement sur les petits matériels, tels que les
ordinateurs portables et les supports informatiques (disques de
serveurs, …). La disparition d’un PC ou d’un serveur peut être
lourde de conséquences au cas où celui-ci n’a pas fait l’objet d’une
copie de sauvegarde récente et complète ou encore lorsque celui-ci
contient des données ou programmes confidentiels.
Dans les grandes gares ou aéroports, il ne se passe pas de journée
sans qu’un ou plusieurs portables ne soient volés. Ces outils des
cadres contiennent le plus souvent des données confidentielles de
5
l’entreprise. Le vol d'un portable peut également permettre de
prendre connaissance des mots de passe et des informations
nécessaires pour se connecter au réseau interne de l'entreprise.
Le sabotage va de l’endommagement d’un appareil isolé aux
attentats terroristes détruisant toute une infrastructure.
L’utilisation de matériels hors standards du marché aggrave les
conséquences d’un vol ou d’un sabotage dans la mesure où
l’obtention de matériels de remplacement peut s’avérer plus
difficile. Cette dimension du risque (diminution de sa capacité à
réagir) devrait être prise en compte par les directeurs dans leurs
choix technologiques.
d. Fraudes
La pratique des fraudes est aussi vieille que le monde.
L’informatique y a cependant ajouté de nouvelles dimensions :
- le montant moyen des fraudes informatiques est sensiblement
plus élevé que celui des fraudes traditionnelles ;
- le manque d’enregistrements visibles réduit les chances de
détection par observation fortuite ;
- les programmes et les données peuvent dans bien des cas être
modifiés sans laisser de traces et être effacés avec une rapidité
extrême. Il n’est pas rare qu’un fraudeur efface les fichiers
comportant les traces de ses méfaits, ainsi que toutes ses copies
de sauvegarde ;
- la complexité de certains systèmes est telle que les utilisateurs
ne disposent plus de la compétence requise pour vérifier
l’exactitude des résultats produits ;
- les contrôles organisationnels classiques (séparation de
fonctions et de connaissances, doubles contrôles, …) ont été
négligés lors de l’introduction des nouveaux systèmes ;
- de nombreux systèmes informatiques ont été réalisés sans
prendre la sécurité en compte lors de leur conception ;
- le personnel technique peut contourner des contrôles
essentiels.
Les fraudes informatiques conduisent à des détournements de
biens et de fonds. Elles peuvent également avoir pour
conséquence le sabotage du fonctionnement :
- des exécutants, que l’on induit en erreur (p.ex. livraison à des
clients dont l’insolvabilité a été masquée, acceptation de
risques tarés dans une compagnie d’assurances par
manipulation de l’historique des sinistres, …) ;
- des gestionnaires, en basant le contrôle de gestion sur des états
incorrects, ce qui peut conduire à ne pas prendre des décisions
qui s’imposeraient ou à prendre des décisions inappropriées
qui pourraient avoir des conséquences désastreuses (p.ex.
rentabilité des départements et produits, situations de
trésorerie, …).
6
e. Sabotage immatériel
Le sabotage immatériel concerne l’altération ou la destruction, totale ou
partielle, des données, des programmes ou de leurs sauvegardes. Ses
conséquences peuvent être aussi graves et parfois même davantage que
celles d’un sinistre matériel, car il peut provoquer des destructions en
profondeur et avoir pour effet de neutraliser pendant un temps long le
fonctionnement du système informatique.
Le sabotage immatériel recouvre diverses notions :
- la modification non autorisée de programmes ;
- les bombes logiques, qui sortent leurs effets destructeurs de données
ou de programmes lors de la réalisation d’un événement (p.ex.
survenance d’une date particulière, destruction de fichiers lorsque le
matricule de l’auteur licencié disparaît du fichier du personnel,…). Une
forme particulièrement dommageable de bombe logique consiste à
altérer graduellement un nombre limité d’enregistrements d’une
grande base de données. Lorsque le problème est découvert, parfois au
terme de nombreux mois, il y a fort à parier que l’entreprise ne
disposera plus d’aucune copie de sauvegarde fiable et devra procéder à
un contrôle exhaustif et coûteux de l’entièreté de la base de données ;
- les logiciels espions (« spyware »). Lorsqu'un utilisateur consulte
licitement des sites Internet, il peut lire une page intéressante, mais qui
cache des parties malveillantes permettant à ces dangereux logiciels
espions de s'installer dans le poste de travail et de migrer sur le réseau
interne tout en communiquant des informations-clés vers l'extérieur.
Techniquement, ces pages dangereuses sont beaucoup plus difficiles à
détecter que les virus dans les mails.
f. Indiscrétion, détournement d’informations
II s’agit d’actes qui ont pour effet que des personnes non autorisées ont
accès aux informations maintenues par le système informatique. Ces
informations peuvent être des données ou des programmes
(correspondances, contrats, secrets industriels, plans commerciaux,
calculs de prix de revient, offres, données personnelles, financières,
médicales, …). Au fur et à mesure que des données de plus en plus
confidentielles sont confiées à des ordinateurs, ceux-ci deviennent les
cibles privilégiées de cette forme actuelle d’espionnage industriel.
g. Grève, départ de personnel stratégique
Le personnel est un maillon indispensable dans la chaîne qui assure le
fonctionnement d’un système d’information. L’indisponibilité, une
épidémie ou la disparition d’un membre de personnel-clé peut
provoquer l’arrêt du système et par voie de conséquence celle de toute
l’activité de l’entreprise.
h. Ex : clé usb perdu par un militaire britannique 2008
7
Il faut savoir que plus de 70% des risques sont effectués par les utilisateurs internes à
l'entreprise. Il faut donc vraiment sensibiliser les utilisateurs, faire des tests de
comportements et protéger le réseau en cas qu'erreur.
1.2.2 Les intervenants externes
Recours sous traitance et prestataire pour bon nombre de service, de se
fait beaucoup de passage dans l’entreprise …
Exemple : chinoise chez Valeo remonte a 2005
Chargé clientèle concurrent
En cas d'intervention d'une personne extérieur sur le système informatique, il faut que ce
dernier soit accompagné par un responsable qui, lui seul, aura les mots de passe ou créer un
mot de passe provisoire pour l'intervenant. Personne d'autre que le propriétaire du poste
informatique doit avoir accès au poste.
2 Protection des ressources
2.1 L’évaluation des risques
Hiérarchiser la valeur des informations
Pour définir le degré de valeur ajoutée de chaque
hiérarchiser la valeur des informations selon.
disponibilité et de leur intégrité. Attribuez ensuite
documents à l’aide de profils utilisateurs selon leur
dans l’entreprise.
type de données, il faut
L’importance de leur
des droits d’accès aux
degré de responsabilité
En général, dans les entreprises :
5% de l’information est stratégique : toute information permettant de
mettre à nu la valeur ajoutée de l’entreprise ou divulguant ses avantages
compétitifs.
15 % de l’information est sensible : ensemble des données qui, associées et
mises en cohérence, peuvent révéler une partie de l’information stratégique.
80% de l’information est divulgable (ouverte) : ensemble des données
diffusables à l’extérieur de l’entreprise sans pour autant lui être préjudiciable.
8
Pour chaque menace, il convient ensuite d’estimer la probabilité qu’elle se
concrétise.
Source : Le CLUSIF (Club de la Sécurité de l’Information Français)
9
2.2 Les logiciels
2.2.1 Tableau comparatif des logiciels
Le tableau suivant liste les principales normes utilisées provenant des organismes de
normalisation internationaux ainsi que celles soutenues par le secteur privé ou
associatif :
Méthode Création Popularité
EBIOS
Auteur
Soutenue par
Pays
Outils
disponibles
1995
***
DCSSI
gouvernement France
logiciel gratuit
Melisa
Marion
1980
**
**
DGA
CLUSIF
armement
association
France
France
abandonnée
abandonnée
Mehari
1995
***
CLUSIF
association
France
logiciel Risicare
Octave
1999
**
Université de Carnegie
Mellon
universitaire
Etats-Unis
logiciel payant
Cramm
1986
**
Siemens
gouvernement Angleterre
logiciel payant
SPRINT
BS 7799
1995
*
***
ISF
association
Angleterre
gouvernement Angleterre
logiciel payant
ISO 17799
***
international
ISO 13335
international
ISO 15408
international
SCORE
2004
Ageris Consulting
secteur privé France
logiciel payant
CALLIO
2001
CALLIO Technologies
secteur privé Canada
logiciel payant
COBRA
2001
C & A Systems Security
Limited
secteur privé Angleterre
logiciel payant
ISAMM
2002
Evosec
secteur privé Belgique
RA2
2000
aexis
secteur privé Allemagne
logiciel payant
2.2.2 EBIOS
EBIOS (Expression des Besoins et Identification des Objectifs de
Sécurité) permet d'identifier les risques d'un SI et de proposer une
politique de sécurité adaptée aux besoin de l'entreprise (ou d'une
administration). Elle a été créée par la DCSSI (Direction Centrale de la
Sécurité des Systèmes d'Information), du Ministrère de la Défence
(France). Elle est destinée avant tout aux administrations françaises et
aux entreprises.
Les 5 étapes de la méthode EBIOS
1.
2.
3.
4.
5.
étude du contexte
expression des besoins de sécurité
étude des menaces
identification des objectifs de sécurité
détermination des exigences de sécurité
10
L'étude du contexte permet d'identifier quel système d'information
est la cible de l'étude.
L'expression des besoins de sécurité permet d'estimer les risques et
de définir les critères de risque
L'étude des menaces permet d'identifier les risques en fonction non
plus des besoins des utilisateurs mais en fonction de l'architecture
technique du système d'information.
L'identification des objectifs de sécurité confronte les besoins de
sécurité exprimés et les menaces identifiées afin de mettre en évidence
les risques contre lesquels le système informatique doit être protégé.
La détermination des exigences de sécurité permet de déterminer
jusqu'où on devra aller dans les exigences de sécurité. Il est évident
qu'une entreprise ne peut faire face à tout type de risques, certains
doivent être acceptés afin que le coût de la protection ne soit pas
exorbitant.
Démarche EBIOS globale
Afin de protéger les ressources, il faut tout d'abord mettre en place un système de
sauvegarde adéquate (sauvegarde en interne ou sauvegarde en externe). En cas de
sauvegarde en interne un contrôle régulier des locaux doit être établit afin d'éviter tous
risques (incendies).
Un officier de sécurité peut être nécessaire afin de déléguer les droits, il répartira donc les
droits de chaque utilisateur.
11
3 Sensibilisation en interne
3.1 La responsabilité du chef d’entreprise
Une sécurité informatique de niveau adéquat ne peut se concevoir sans que
l'autorité suprême de l'entreprise ne s'implique dans les processus de sécurité
et de gestion des risques.
Le chef d'entreprise doit, bien sûr, se préoccuper de la bonne sécurité
informatique au même titre que les autres aspects qualité des activités de son
entreprise.
Les défaillances de sécurité informatique peuvent avoir des conséquences
graves, tant pénales que civiles, et impliquer directement la responsabilité du
chef d'entreprise. C'est notamment le cas lorsque les défauts de sécurité
informatique entraînent des dommages à des tiers.


Article 1383 du Code Civil : "Chacun est responsable du dommage qu'il a
causé non seulement par son fait mais encore par sa négligence ou par
son imprudence"
Code Pénal - Article 34 de la loi du 6 janvier 1978 (Informatique et
Libertés) : "Le responsable du traitement est tenu de prendre toutes
précautions utiles, au regard de la nature des données et des risques
présentés par le traitement, pour préserver la sécurité des données et
notamment empêcher qu'elles soient déformées, endommagées ou que
des tiers non autorisés y aient accès"
Le responsable fait signer à chaque utilisateur une chartre de confidentialité et s'assure que
les mots de passe changent régulièrement afin d'éviter des intrusions par d'autres personnes.
3.2 La contribution du personnel à l’amélioration de la sécurité
Chacun peut et doit contribuer à la sécurité informatique. La politique de
sécurité et les procédures doivent être formalisées dans un ou plusieurs
documents suffisamment diffusés. Ces documents (polices de sécurité) doivent
induire le comportement individuel par une description adéquate des rôles et
responsabilités, des droits et devoirs qui incombent à chacun. Afin de prouver
la bonne information, on pourra exiger un accusé de réception du document de
chaque membre du personnel. Pour toutes les données revêtant un caractère
de confidentialité, il sera exigé un engagement individuel et explicite de
confidentialité.
Tous les employés doivent être avertis de ce qu'une simple imprudence peut
entraîner des conséquences majeures pour l'entreprise. La lecture
inconsidérée d'une disquette ou d'un CD-ROM ou une connexion extérieure
par modem, par exemple, peut introduire un virus qui va affecter le site
Internet, par migration dans le réseau. Plus pernicieux que les virus, les
« chevaux de Troie » sont de petits programmes qui désactivent certaines
protections internes du réseau ou ajoutent des mots de passe de manière à
ouvrir les portes pour une attaque majeure des systèmes par l'extérieur.
12
La Charte informatique ou code de bonne conduite
L'objet d'une charte informatique est d'encadrer l'utilisation par les salariés
du matériel informatique mis à leur disposition (ordinateur, messagerie
électronique, internet, intranet…).
La charte informatique va notamment permettre d'assurer un équilibre entre
différents impératifs :
· d'une part, les impératifs de l'employeur concernant la sécurité de ses
systèmes d'information et de ses réseaux, l'intégrité, la disponibilité et la
confidentialité des données qui y sont traitées, mais également la défense de
ses intérêts légitimes, que ce soit en cas d'usage frauduleux ou inapproprié,
par ses salariés, de ses outils informatiques (responsabilité civile, voire
pénale) ou tout simplement pour ne pas subir, en raison du comportement de
certains salariés, une baisse de productivité ;
· d'autre part, le respect de la vie privée des salariés compte tenu de la
reconnaissance d'un droit au respect de la vie privée du salarié sur le lieu
de travail qui trouve son expression notamment lors de l'usage de l'ordinateur
mis à disposition et de l'accès aux réseaux..
Il est, en pratique, nécessaire ou, en tout cas, vivement recommandé
d'encadrer par écrit l'utilisation par les salariés des outils informatiques et de
l'accès aux réseaux dans le cadre d'une « charte informatique ». Celle-ci va
permettre de fixer ces règles d'utilisation, de définir les modalités de contrôle
par l'employeur et d'informer les salariés sur leurs droits et obligations.
Il sensibilise l'ensemble du personnel avec des plusieurs formations dans l année sur la
securité, la direction ainsi que les salariés.
13
CONCLUSION
La meilleure sécurité n'est pas atteinte par une pléthore de moyens techniques tels
qu’antivirus, firewalls ou autres systèmes. Il existe un juste compromis entre les risques
potentiels et les mesures de sécurité à prendre pour les éviter ou les réduire. Comme en
matière d'assurances, il existe des risques qu'il est raisonnable de ne pas couvrir. La
politique de sécurité informatique a donc aussi pour objectif de définir le niveau de
sécurité raisonnable, en tenant compte notamment des impacts potentiels et des coûts
nécessaires pour les éviter. Ce niveau de sécurité est à définir selon de multiples
critères, notamment le contexte et les possibilités humaines, financières ou
technologiques. Les critères à prendre en considération sont donc propres à chaque
entreprise.
14
Téléchargement
Random flashcards
Le lapin

5 Cartes Christine Tourangeau

aaaaaaaaaaaaaaaa

4 Cartes Beniani Ilyes

découpe grammaticale

0 Cartes Beniani Ilyes

Anatomie membre inf

0 Cartes Axelle Bailleau

Fonction exponentielle.

3 Cartes axlb48

Créer des cartes mémoire