Implémentation des contrôles de sécurité dans les systèmes existants
Rappels sur la sécurité informatique
Définition de la sécurité informatique
La sécurité informatique est l’ensemble des moyens (techniques, organisationnels, juridiques et humains) mis en œuvre pour réduire la vulnérabilité d’un système informatique contre les menaces accidentelles ou intentionnelles auxquelles il peut être confronté. En d’autres termes, c’est l’ensemble des techniques qui assurent que les ressources du système d’information (matérielles ou logicielles) d’une organisation sont utilisées uniquement dans le cadre où il est prévu qu’elles le soient. Nous pouvons déduire de ces constats que la démarche de sécurité informatique est une activité managériale des systèmes d’information et qu’il convient aussi d’établir un tableau de bord de pilotage associé à une politique de sécurité comprenant les organes vitaux constituant une entreprise.
Objectifs de la sécurité
De nos jours, plusieurs entreprises se sont ouvertes au monde avec l’utilisation et le développement accru de l’Internet. Ce dernier présentant des risques quant à l’échange des données, il est donc essentiel de veiller à la protection de ces données confidentielles pour la plupart des entreprises, d’où la notion de sécurité informatique. La sécurité informatique est un processus consistant à veiller à ce que les ressources, aussi bien logicielles que matérielles, composant le système d’information de l’entreprise, soient utilisées dans un but bien défini. Ainsi, la sécurité informatique a cinq (5) principaux objectifs : L’intégrité : elle permet de garantir la conformité des données entre celles qui ont été transmises et celles qui sont reçues ; Page 20 La confidentialité : elle consiste à assurer l’utilisation des ressources de l’entreprise par des personnes habilitées à le faire ; L’authentification : elle permet d’identifier un utilisateur lors d’un échange d’informations ou pour contrôler l’accès à un réseau ou à des ressources ; La non répudiation : elle concerne principalement les informations échangées. Elle ne garantit qu’aucun des correspondants ne peut nier la transaction ; La disponibilité : elle assure l’accès aux services ou aux ressources. Afin de répondre à ces besoins, la cryptographie, le hachage et la signature seront des éléments primordiaux dans le processus de sécurisation d’un système d’information.
Sécurité des Systèmes d’Information
Définition des SI
Un système d’information (SI) est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et diffuser de l’information. Le SI peut être défini comme étant l’ensemble des flux d’information circulant dans l’organisation associé aux moyens mis en œuvre pour les gérer : Infrastructure matérielle et logicielle : Réseau, Serveurs, Postes individuels, … Logiciels, SGBD, Applications de gestion, Applications métier… Moyens humains : Procédures internes, ISO 9001,
Fonctions du SI
Le Système d’Information représente l’ensemble des ressources (humaines, matérielles, logicielles) organisées pour : Page 21 Collecter l’information : enregistrer une information (support papier, informatique…) avant son traitement ; Mémoriser l’information (stockage) : conserver, archiver (utilisation ultérieure ou obligation légale) ; Traiter l’information : effectuer des opérations (calcul, tri, classement, résumé, …) ; Diffuser : transmettre à la bonne personne (éditer, imprimer, afficher, … une information après traitement).
Qualité d’un SI
Un système d’information doit avoir comme qualité : La rapidité et la facilité d’accès à l’information ; La fiabilité, l’intégrité et la pertinence des informations ; La sécurité de l’information ; La confidentialité de l’information.
Domaine d’application de la Sécurité
Tous les domaines de l’informatique sont concernés par la sécurité d’un système d’information. En fonction de son domaine d’application, la sécurité informatique se décline en Sécurité physique, Sécurité de l’exploitation, Sécurité logique, Sécurité applicative, et Sécurité des télécommunications. La sécurité physique La sécurité physique concerne tous les aspects liés à l’environnement dans lequel les systèmes se trouvent. La sécurité physique passe donc par : Des normes de sécurité, la protection de l’environnement (incendie, température, humidité, …) ; Protection des accès ; Redondance physique ; Plan de maintenance préventive et corrective. La sécurité de l’exploitation Elle est en rapport avec tout ce qui touche au bon fonctionnement des systèmes. Cela comprend la mise en place d’outils et de procédures relatifs aux méthodologies d’exploitation, de maintenance, de test, de diagnostic et de mise à jour. On peut citer comme point clé de cette sécurité : Plan de sauvegarde, de secours, de continuité, de tests ; Inventaires réguliers et si possible dynamique ; Gestion du parc informatique, des configurations et des mises à jour ; Contrôle et suivi de l’exploitation, etc. La sécurité logique La sécurité logique fait référence à la réalisation de mécanisme de sécurité par logiciel. Elle repose sur la mise en œuvre d’un système de contrôle d’accès logique s’appuyant sur un service d’authentification, d’identification et d’autorisation. Elle repose également sur : Les dispositifs mis en place pour garantir la confidentialité dont la cryptographie ; Une gestion efficace des mots de passe et des procédures d’authentification ; Des mesures antivirus et de sauvegarde des informations sensibles. La sécurité applicative Elle consiste à faire un développement pertinent et l’intégrer harmonieusement dans les applications existantes. Cette sécurité repose essentiellement sur : Une méthodologie de développement, La robustesse des applications, Des contrôles programmés, Des jeux de tests, Un plan de migration des applications critiques, La validation et l’audit des programmes, Un plan d’assurance sécurité. La sécurité des télécommunications Elle consiste à offrir à l’utilisateur final une connectivité fiable et de qualité de « bout en bout ». Il faut donc mettre un canal de communication fiable entre les correspondants, quels que soient le nombre et la nature des éléments intermédiaires. Cela implique la réalisation d’une infrastructure réseau sécurisée au niveau des accès, des protocoles de communication, des systèmes d’exploitation et des équipements.
Les menaces
L’environnement lié aux technologies de l’information et de la communication est la cible de nombreuses menaces. L’ouverture des réseaux et leur complexité croissante associant des acteurs aux multiples profils, ont renforcé la vulnérabilité des systèmes d’information. La connaissance de l’existence de ces vulnérabilités peut permettre à un acteur malveillant de conduire une attaque et ainsi porter atteinte à la confidentialité, à l’intégrité ou à la disponibilité du système d’information. Les types d’attaques Les attaques peuvent être classées en deux catégories à savoir les attaques passives (une simple lecture des données sans modification) et Les attaques actives (altérations des données). Ces différentes catégories se subdivisent en quatre sous-groupes qui sont : Les attaques de reconnaissance L’attaquant va déployer tous les procédés à sa portée pour regrouper une quantité d’information sur le système ou réseau ciblé. Il pourra le sonder et le cartographier (ce que l’on appelle un « scan »), et dans certains cas capturer du trafic légitime pour en tirer des éléments pertinents, ou encore exploiter la gigantesque base de connaissances que sont les moteurs de recherche sur Internet. Page 24 L’intrusion En utilisant une vulnérabilité identifiée du système ciblé, l’attaquant va tenter d’obtenir un accès sur celui-ci, ou des privilèges accrus. Pour cela, il pourra usurper l’identité d’un utilisateur légitime, exploiter une faille du système d’exploitation ou un trou de sécurité applicatif, introduire un cheval de Troie, utiliser une porte dérobée. Les attaques de modification Il peut s’agir d’altérer ou de détruire des données stockées sur le système, ou bien détruire le système lui-même, avec des finalités diverses. Au-delà des implications financières et industrielles évidentes, le but poursuivi peut être la dégradation des mécanismes de protection en vue d’attaques ultérieures. Cela peut être atténué par des mécanismes de sauvegarde et des plans de continuité. Les attaques de saturation Plus connue sous la dénomination de déni de service, l’attaque consiste à provoquer la saturation d’une des ressources du système d’information : bande passante, puissance de calcul, capacité de stockage, dans l’intention de rendre l’ensemble inutilisable. De nos jours, cette activité est très répandue sur Internet. Le profil des attaquants et motivations Un attaquant peut être défini comme toute personne physique ou morale (État, organisation, service, groupe de pensée, etc.) portant atteinte ou cherchant à porter atteinte à un Système d’Information, de façon délibérée et quelles que soient ses motivations. Les attaquants sont souvent de profils hétérogènes et obéissent à des motivations très différentes. Les motivations peuvent être l’espionnage industriel, la vengeance d’un ancien employé ou frustré, le besoin de reconnaissance et d’admiration, la curiosité, le pouvoir, ou encore le gain financier. Pour ce qui est des profils, parmi les plus connus, on a les « hackers » qui interviennent individuellement ou via des organisations. Différentes catégories de hackers existent en fonction de leur champ d’implication (légal ou illégal) ou de leur impact sur les réseaux informatiques : Les chapeaux blancs (White Hats en anglais) : Certains consultants en sécurité, administrateurs réseaux ou cyber-policiers, qui ont un sens de l’éthique et de la déontologie. Ils ont comme ambition d’aider à la sécurisation du système, sans en tirer profit de manière illicite. Ils bricolent et testent les systèmes d’informations pour découvrir les vulnérabilités pas encore connues ou non publiques (0 Day). Après découverte, ils rendent publique les vulnérabilités ; Les chapeaux gris (Grey Hats en anglais) : Le hacker au chapeau gris est un peu un hybride du chapeau blanc et du chapeau noir. Il s’agit d’un pirate compétent, qui agit parfois avec l’esprit d’un chapeau blanc, parfois avec celui d’un chapeau noir. Son intention n’est pas forcément mauvaise mais il commet cependant occasionnellement un délit. Beaucoup de hackers qui se disent White Hats s’apparentent en réalité plus à des Grey Hats, dans le sens où ils ne révèlent pas toujours leurs découvertes et en profitent à des fins personnelles. Les chapeaux noirs (Black Hats en anglais) : Généralement, ces hackers ne respectent pas la loi, ils pénètrent par effraction dans les systèmes dans un intérêt qui n’est pas celui des propriétaires du réseau. L’intérêt dans ce cas de figure est personnel, généralement financier, dont le but est nuisible à la personne (physique ou morale) visée. Ces pirates ayant une nette attirance pour le côté obscure sont par exemple les créateurs de virus, de chevaux de Troie ou de logiciels espions. Les « scripts kiddies » Un script kiddy est généralement un débutant ou un adolescent pénétrant par effraction dans un système après avoir étudié/lu dans des livres ou sur internet quelques documentations de base sur la sécurité informatique. Ils récupèrent aussi les exploits laissés par les chapeaux blanc ou noirs sur les outils publics et les exécutent sur des machines, sans aucune connaissance, dans le but de provoquer des pannes volontaires. Définition de quelques menaces Un ver est un logiciel malveillant indépendant qui se transmet d’ordinateur à ordinateur par l’Internet ou tout autre réseau en utilisant les failles existantes et perturbe le fonctionnement des systèmes concernés en s’exécutant à l’insu des utilisateurs. Contrairement au virus, le ver ne s’implante pas au sein d’un autre programme. Un virus est un logiciel malveillant, généralement de petite taille, qui se transmet par les réseaux ou les supports d’information amovibles. Il s’implante au sein des programmes en les parasitant, se duplique à l’insu des utilisateurs et produit ses effets dommageables quand le programme infecté est exécuté ou quand survient un événement donné. Le Phishing consiste à duper l’internaute (page factice d’un site bancaire ou d’ecommerce) pour qu’il communique des informations confidentielles (nom, mot de passe, numéro PIN, …). Ces données sont utilisées pour obtenir de l’argent. Cette menace est un frein au développement de la banque et de l’administration en ligne. Les réseaux de bots (botnet en anglais) visent à donner la possibilité à un pirate de contrôler des machines, en vue d’une exploitation malveillante. Ils peuvent provoquer des redémarrages intempestifs ou empêcher le téléchargement de correctifs tout en bloquant l’accès à certains sites Internet. Un Spam est un courrier électronique d’exemplaires identiques, envoyé en nombre, de façon automatique et non sollicité. Un spyware est un code qui permet de transmettre les habitudes d’un internaute, que l’on peut qualifier de logiciel espion avec des objectifs de commerce et de renseignement (études marketing, …). Il peut intégrer des programmes malveillants de toutes sortes mais également affecter la confidentialité des données de l’internaute. Un ransomware est un logiciel malveillant qui prend en otage des données personnelles en les chiffrant puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer.
Table des matières |