Adaptation française des présentations Olivier Caya Jacques Lavallée Danielle Perras Chapitre 8 La sécurité des systèmes d’information Diapositives préparées par Olivier Caya, Jacques Lavallée et Danielle Perras (Université de Sherbrooke) © ERPI, 2010. Objectifs d’apprentissage 1. Pourquoi les systèmes d’information sont-ils vulnérables à la destruction, à l’erreur et à un usage abusif ? 2. Quelle est la valeur commerciale de la sécurité et du contrôle des systèmes d’information ? 3. Quels éléments doit comprendre le cadre organisationnel de sécurité et de contrôle des systèmes d’information ? 4. Quelles technologies et quels outils sont les plus importants pour la sauvegarde des ressources en information ? © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 3 LES CELTICS DE BOSTON MARQUENT DES POINTS CONTRE LES LOGICIELS ESPIONS • Problème : Des logiciels espions ont contaminé les ordinateurs portables des entraîneurs et des employés en déplacement et ont nui à la performance des systèmes internes de l’entreprise. • Solutions : Investissement dans une nouvelle technologie de sécurité afin d’obtenir des couches additionnelles de protection. • La passerelle Webgate de Mi5 Network installée entre le pare-feu et le réseau empêche les logiciels espions de pénétrer sur le réseau et en refuse l’accès aux ordinateurs déjà contaminés. • Ce cas démontre le rôle des TI pour combattre les logiciels malveillants. • Il illustre le rôle des technologies numériques pour assurer la sécurité à travers le Web. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 4 La vulnérabilité des systèmes • La sécurité : – comprend les politiques, les procédures et les mesures techniques… … visant à prévenir tout accès non autorisé et toute altération de données, ainsi que les vols et les dommages. • Les contrôles : – consistent en des méthodes, des mesures et des procédures organisationnelles… … garantissant la protection des actifs d’une organisation, la précision et la fiabilité de ses enregistrements et la conformité de ses opérations aux normes de gestion. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 5 La vulnérabilité des systèmes Les causes de la vulnérabilité des systèmes • Mauvais fonctionnement du matériel informatique : – Une panne du matériel informatique, une configuration inadéquate, un usage abusif ou un acte criminel. • Mauvais fonctionnement des logiciels : – Des erreurs de programmation, une installation mal faite et des changements non autorisés. • Désastres : – Des pannes de courant, inondations, incendies et autres catastrophes naturelles. • Impartition : – Faire appel à des sous-traitants locaux ou à l’étranger. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 6 La vulnérabilité des systèmes © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 7 La vulnérabilité des systèmes La vulnérabilité d’Internet • Les grands réseaux publics sont ouverts à tous. • Internet est un si gros réseau qu’un usage abusif peut y avoir des répercussions considérables. • Les ordinateurs sont constamment connectés à Internet et utilisent une adresse Internet permanente qui permet de les repérer facilement. • Les courriels avec pièces jointes peuvent contenir des logiciels malveillants. • Le courriel peut servir à transmettre des secrets commerciaux. • La messagerie instantanée, qui est sans sécurité, peut être facilement interceptée. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 8 La vulnérabilité des systèmes © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 9 La vulnérabilité des systèmes Les programmes malveillants • Virus informatique : programme malveillant qui s’attache à d’autres programmes ou à des fichiers de données pour s’exécuter. • Ver informatique : programme indépendant (autonome) qui se propage d’un ordinateur à l’autre dans un réseau. • Cheval de Troie : programme en apparence inoffensif, mais dont le comportement est imprévisible. • Logiciel espion : petit programme qui s’installe lui-même pour espionner la navigation sur le Web et diffuser de la publicité. – L’enregistreur de frappe enregistre chaque frappe faite sur un ordinateur pour voler des numéros de série, des mots de passe, des numéros de cartes de crédit, et pour lancer des attaques Internet. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 10 La vulnérabilité des systèmes Les pirates informatiques et le cybervandalisme • Pirate informatique (hacker) vs braqueur (cracker) – Le pirate cherche à obtenir un accès non autorisé. – Le braqueur est un pirate avec une intention criminelle. • Activités de piratage : – L’intrusion dans un système informatique. – Le vol de biens et d’informations. – Les atteintes aux systèmes. – Le cybervandalisme : • c’est-à-dire la perturbation, la dégradation ou même la destruction préméditée d’un site Web ou d’un système informatique d’entreprise. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 11 La vulnérabilité des systèmes • Le vol d’identité – Consiste en l’obtention de renseignements personnels (numéro d’assurance sociale, permis de conduire ou carte de crédit) dans le but de se faire passer pour quelqu’un d’autre. • L’hameçonnage (fishing) – Consiste en la création de faux sites Web ou l’envoi de courriels dirigeant les utilisateurs vers de faux sites Web, imitant ceux d’entreprises légitimes, et demandant de fournir des renseignements confidentiels. • Les jumeaux malfaisants (evil twins) – Consistent en des réseaux sans fil qui prétendent offrir des connexions Wi-Fi fiables à Internet, comme dans les aéroports, les hôtels ou les cafés, et par lesquels les fraudeurs tentent de saisir des mots de passe et des numéros de cartes de crédit. • Le clonage d’adresses de serveur (pharming) – Redirige les utilisateurs vers une fausse page Web, même lorsqu’ils ont tapé la bonne adresse dans leur navigateur. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 12 La vulnérabilité des systèmes Les menaces internes : les employés • Les menaces en matière de sécurité proviennent souvent de l’intérieur des entreprises. – Les employés ont accès à des informations privilégiées. – Les procédures de sécurité manquent de rigueur. – Les utilisateurs manquent de connaissances. • Ingénierie sociale ou piratage psychologique : – Des intrus mal intentionnés peuvent amener des employés à révéler leur mot de passe en prétendant être des membres légitimes de l’organisation à la recherche de renseignements. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 13 La valeur commerciale de la sécurité et du contrôle des systèmes informatiques Une sécurité et un contrôle inadéquats peuvent engendrer : – des pertes de revenus; • Une panne des systèmes informatiques peut ralentir ou arrêter les activités de l’entreprise menant à des pertes financières importantes. – une perte de valeur sur le marché financier; • • Plusieurs informations sont précieuses et doivent être protégées. Si la sécurité de ses informations est compromise, une entreprise peut perdre rapidement de sa valeur en Bourse. – des problèmes juridiques; – une baisse de la productivité des employés; – des coûts d’exploitation plus élevés. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 14 La valeur commerciale de la sécurité et du contrôle des systèmes informatiques Les exigences juridiques et réglementaires s’appliquant à la gestion des documents informatiques (aux É.-U.) – Les entreprises font face à de nouvelles obligations. – Elles ont l’obligation juridique de gestion et de conservation des documents informatiques, ainsi que de protection de la vie privée. • HIPAA : Health Insurance Portability and Accountability Act – Cette loi précise les règles et les procédures à respecter pour préserver la confidentialité et la sécurité des données médicales. • Loi Gramm-Leach-Bliley : – Cette loi impose aux institutions financières une obligation de confidentialité et de sécurité concernant les données sur les consommateurs. • Loi Sarbanes-Oxley : – © ERPI, 2010. Cette loi fait porter sur les entreprises et sur leurs dirigeants la responsabilité de protéger l’intégrité des informations financières utilisées à l’interne et diffusées à l’externe. CHAPITRE 8 La sécurité des systèmes d’information 15 La valeur commerciale de la sécurité et du contrôle des systèmes informatiques • La preuve électronique – Les preuves utilisées dans les causes judiciaires se présentent souvent sous forme numérique : • Données électroniques stockées sur un ordinateur, courriels, messagerie instantanée, transactions de commerce électronique. – Sur demande, une entreprise est tenue par la loi de fournir ces informations pouvant servir de preuve. – Une politique efficace de conservation des documents électroniques peut s’avérer rentable. • L’expertise judiciaire en informatique – Elle consiste en la collecte, l’examen, l’authentification, la conservation et l’analyse de données électroniques, de sorte qu’elles puissent servir de preuves devant un tribunal. – Elle s’occupe notamment de la récupération de données cachées (invisibles ou détruites). © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 16 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information Les contrôles des systèmes d’information • Les contrôles généraux – Ils portent sur la conception, la sécurité et l’usage des programmes informatiques, ainsi que sur la sécurité des fichiers de données stockés dans toute l’infrastructure de TI de l’organisation. – Ils consistent en une combinaison de dispositifs matériels et logiciels, ainsi que de procédures manuelles, visant à créer un cadre global de contrôle. • Les types de contrôles généraux portent sur : – – – – – – © ERPI, 2010. les logiciels, le matériel informatique, les opérations informatiques, la sécurité des données, les processus d’implantation des systèmes, les contrôles administratifs. CHAPITRE 8 La sécurité des systèmes d’information 17 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information Les contrôles des systèmes d’information (suite) • Les contrôles des applications – Ils portent spécifiquement sur chacune des applications informatisées, comme la paie et le traitement des commandes. – Ils regroupent des procédures manuelles et automatisées. – Ils permettent de s’assurer que l’application en question ne traite que des données autorisées de façon exhaustive et précise. • Les catégories de contrôles d’applications : – Les contrôles à l’entrée – Les contrôles en cours de traitement – Les contrôles à la sortie © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 18 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information L’analyse de risque • Elle consiste dans l’évaluation du degré de risque que représente pour l’entreprise une lacune dans le contrôle d’une activité donnée ou d’un processus particulier. • Les risques peuvent porter sur : – – – – les menaces potentielles; leur fréquence probable durant une année; la valeur estimée des dommages causés; la perte annuelle possible. Exemple : L’évaluation des risques relatifs au traitement des commandes en ligne Problème Panne de courant Détournement informatique Erreur de l’utilisateur © ERPI, 2010. Probabilité d’occurrence (%) Perte minimale-maximale (moyenne) ($) Perte annuelle prévisible ($) 30 5 000 à 200 000 (102 500) 30 750 5 1 000 à 50 000 (25 500) 1 275 98 200 à 40 000 (20 100) 10 698 CHAPITRE 8 La sécurité des systèmes d’information 19 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information La politique de sécurité informatique • Elle se compose d’une série d’énoncés qui hiérarchisent les risques et fixent des objectifs raisonnables en matière de sécurité en indiquant comment les atteindre. • Elle détermine quels sont les usages acceptables des ressources informationnelles de l’entreprise et les membres qui y ont accès : – Une politique d’utilisation acceptable indique quelles utilisations des ressources et du matériel d’information sont permises. – Une politique d’autorisation détermine le degré d’accès aux ressources informationnelles alloué aux diverses catégories d’utilisateurs au sein de l’organisation. – Un système de gestion des autorisations accorde à l’utilisateur l’accès aux seules parties d’un système qu’il est autorisé à consulter en vertu d’un ensemble de règles. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 20 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 21 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information • Planification de la reprise sur sinistre : est l’élaboration de plans assurant la restauration des services informatiques et des communications après un sinistre. • Planification de la continuité des affaires : porte sur les moyens par lesquels l’entreprise peut reprendre ses opérations après un sinistre. • Dans ces deux types de planification, les dirigeants et spécialistes doivent travailler ensemble afin de déterminer les systèmes et programmes les plus cruciaux pour l’entreprise. – Ils doivent procéder à une analyse d’impact pour estimer l’effet d’une panne des systèmes sur les affaires. – Les gestionnaires doivent… … évaluer la durée maximale de survie de l’entreprise en cas de panne de ses systèmes; … déterminer les secteurs qui doivent être restaurés en priorité. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 22 L’établissement d’un cadre de gestion pour la sécurité et le contrôle des systèmes d’information © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 23 Les outils et les technologies permettant de protéger les ressources informationnelles Le contrôle d’accès • Il comprend les politiques et procédures qu’une entreprise utilise pour empêcher toute personne non autorisée d’accéder à ses systèmes, à l’interne comme à l’externe. – Autorisation : accorder une permission. – Authentification : vérifier si la personne est bien celle qu’elle prétend être. – Méthodes d’authentification : • • • • © ERPI, 2010. Mot de passe Jeton d’authentification Carte à puce Authentification biométrique CHAPITRE 8 La sécurité des systèmes d’information 24 Les outils et les technologies permettant de protéger les ressources informationnelles • Les pare-feux : une combinaison de matériel informatique et de logiciels qui contrôlent le trafic qui arrive dans un réseau et qui en sort. – Technologies de filtrage : • • • • Filtrage statique de paquets de données Inspection dynamique Traduction d’adresses de réseau Filtrage par serveur mandataire (proxy) • Les systèmes de détection d’intrusion : des outils qui effectuent une surveillance continuelle dans les zones ou les points d’accès des réseaux les plus vulnérables, de manière à repérer et à dissuader les intrus. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 25 Les outils et les technologies permettant de protéger les ressources informationnelles © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 26 Les outils et les technologies permettant de protéger les ressources informationnelles © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 27 Les outils et les technologies permettant de protéger les ressources informationnelles Assurer la disponibilité des systèmes • Le traitement transactionnel en ligne – Requiert que les systèmes et les applications soient disponibles en tout temps. • Les systèmes à tolérance de pannes – Assurent la continuité du service. – Contiennent du matériel, des logiciels et des composantes d’alimentation électrique redondants. • L’informatique à haute disponibilité – Permet de se relever rapidement en cas de « plantage ». – Diminue les temps d’arrêt sans toutefois les éliminer entièrement. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 28 Les outils et les technologies permettant de protéger les ressources informationnelles Assurer la disponibilité des systèmes (suite) • L’informatique axée sur la reprise – Vise à concevoir des systèmes qui reprennent rapidement en cas de problème et aide les opérateurs à localiser les sources de pannes dans des systèmes à composantes multiples et à corriger leurs erreurs. • Le contrôle de l’utilisation des réseaux – L’inspection approfondie des paquets (IAP). • L’impartition de la sécurité – Un fournisseur de gestion de services de sécurité… … surveille les activités du réseau; … effectue des tests de vulnérabilité; … détecte les intrusions. © ERPI, 2010. CHAPITRE 8 La sécurité des systèmes d’information 29