Qu’est-ce que la sécurité d’un système ?
La sécurité d’un système d’information n’est plus un sujet tabou. Les statistiques des attaques et des menaces font qu’aujourd’hui, les responsables en sont conscients des risques pesant sur un système d’information même si les moyens ne suivent pas toujours pour assurer d’une manière efficace la sécurité.
Pour répondre d’une manière objective à cette question, il est judicieux de définir d’abord les termes ‘système informatique’ et ‘système d’information’ afin de mieux cerner la différence entre ces deux expressions qui font souvent l’objet de confusion.
Système informatique
Un système informatique est un ensemble de dispositifs (matériels et logiciels) associés, sur lesquels repose un système d’information. Il est constitué généralement des serveurs, des routeurs, pare-feu, commutateurs, imprimantes, médias (câbles, air, etc.), points d’accès, stations de travail, systèmes d’exploitation, applications, bases de données, etc.
Système d’information
Un système d’information est un ensemble de moyens (humains, matériels, logiciels, etc.) organisés permettant d’élaborer, de traiter, de stocker et/ou de diffuser de l’information grâce aux processus ou services. Un système d’information est généralement délimité par un périmètre pouvant comprendre des sites, des locaux, des acteurs (partenaires, clients, employés, etc.), des équipements, des processus, des services, des applications et des bases de données.
Par-dessus tout, La sécurité d’un système (informatique ou d’information) est un ensemble de moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir sa sécurité. En général, la sécurité d’un système d’information englobe celle du système informatique sur lequel il s’appuie.
Faire de la sécurité sur un réseau consiste donc à s’assurer que celui qui modifie ou consulte des données du système en a l’autorisation et qu’il peut le faire correctement car le service est disponible.
Quelques chiffres
Les cinq programmes les plus malveillants sur le web.
Evaluation de la sécurité d’un système d’information
La sécurité d’un système informatique peut s’évaluer sur la base d’un certain nombre de critères de sécurité. On distingue généralement trois principaux critères de sécurité :
Disponibilité : Elle consiste à garantir l’accès à un service ou à une ressource.
Intégrité : Elle consiste à s’assurer que les données n’ont pas été altérées durant la communication (de manière fortuite ou intentionnelle).
Confidentialité : Elle consiste à rendre l’information inintelligible à d’autres personnes que les seuls acteurs concernés.
En plus de ces trois critères, on peut ajouter les critères suivants:
Authentification : Elle consiste à assurer l’identité d’un utilisateur, c’est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu’il croit être.
Non répudiation : Elle consiste à garantie qu’aucun des correspondants ne pourra nier la transaction.
L’évaluation de la sécurité d’un système informatique est un processus très complexe basé en général sur une méthodologie (standard ou non). Cette évaluation passe par une analyse de risques. L’analyse des risques pesant sur un système informatique elle-même s’appuie sur un ensemble de métriques définies au préalable.
Par exemple pour le critère « disponibilité », le choix des métriques d’évaluation peut être : Très haute, Haute, Moyenne, Basse.
L’analyse des risques fait partie du processus global de gestion de risques dans un système d’information.
Pourquoi sécurisé un système informatique ?
Les enjeux
Les enjeux économiques
La concurrence fait que des entreprises s’investissent de plus en plus dans la sécurisation de leurs systèmes d’information et dans la qualité de service fournit aux clients. Les organismes ou entreprises à but lucratif ont presque toujours la même finalité : c’est de réaliser des bénéfices sur l’ensemble de leurs activités. Cette réalisation est rendue possible grâce à son système d’information considéré comme moteur de développement de l’entreprise. D’où la nécessité de garantir la sécurité de ce dernier.
Les enjeux politiques
La plupart des entreprises ou organisations se réfèrent aux documents officiels de sécurité élaborés et recommandés par l’État. Ces documents contiennent généralement des directives qui doivent être appliquées par toute structure engagée dans un processus de sécurisation du système d’information. Dans le cadre du chiffrement des données par exemple, chaque État définit des cadres et mesures d’utilisation des algorithmes de chiffrement et les recommande aux entreprises exerçant sur son territoire. Le non-respect de ces mesures et recommandations peut avoir des conséquences grave sur l’entreprise. A ce niveau, l’enjeu est plus politique parce que chaque État souhaite être capable de décrypter toutes les informations circulant dans son espace.
Les enjeux juridiques
Dans tout système d’information, on retrouve de l’information multiforme (numérique, papier, etc.). Le traitement de celle-ci doit se faire dans un cadre bien définit et dans le strict respect des lois en vigueur. En matière de juridiction, le non-respect des lois et exigences relatives à la manipulation des informations dans un système d’information peut avoir des conséquences graves sur l’entreprise.
Les vulnérabilités
Tous les systèmes informatiques sont vulnérables. Peu importe le niveau de vulnérabilité de ceux-ci. Une vulnérabilité est une faille ou une faiblesse pouvant être exploitée par une personne mal intentionnée pour nuire. Les vulnérabilités des systèmes peuvent être classés en catégorie (humaine, technologique, organisationnelle, mise en œuvre).
Les vulnérabilités humaines
L’être humain de par sa nature est vulnérable. La plupart des vulnérabilités humaines proviennent des erreurs (négligence, manque de compétences, surexploitation, etc.), car ne dit-on pas souvent que l’erreur est humaine ? Un système d’information étant composé des humains, il convient d’assurer leur sécurité si l’on veut garantir un maximum de sécurité dans le SI.
Un exemple courant de vulnérabilité chez l’humain, c’est la surexploitation. Généralement, on a tendance à faire travailler un employé au-delà de la limite de ses capacités normales. Ce qui peut l’amener à commettre des erreurs pouvant avoir des conséquences désastreuses pour l’entreprise. Par exemple le fait d’oublier une carte d’accès Secure ID dans un taxi au retour de travail, ou alors de lire un document confidentiel de l’entreprise dans un train lors d’un voyage, sans s’assurer qu’on n’est pas filé.
Les vulnérabilités technologiques
Avec la progression exponentielle des outils informatiques, les vulnérabilités technologiques sont découvertes tous les jours. Ces vulnérabilités sont à la base dues à une négligence humaine lors de la conception et la réalisation. Pour être informé régulièrement des vulnérabilités technologiques découvertes, il suffit de s’inscrire sur une liste ou des listes de diffusion mises en place par les CERT (Computer Emergency Readiness ou Response Team).
Les vulnérabilités organisationnelles
Les vulnérabilités d’ordre organisationnel sont dues à l’absence des documents cadres et formels, des procédures (de travail, de validation) suffisamment détaillées pour faire face aux problèmes de sécurité du système. Quand bien même ces documents et procédures existent, leur vérification et mises à jour ne sont pas toujours bien assurées.
Un exemple de vulnérabilité organisationnelle peut être le manque de définition des responsabilités dans un système d’information.
Les vulnérabilités mise en œuvre
Les vulnérabilités au niveau mise en œuvre peuvent être dues à la non prise en compte des certains aspects lors de la réalisation d’un projet. Par exemple la non prise en compte des procédures de maintenance dans un projet d’acquisition et de mise en en production d’un serveur de données.
Les menaces
Les systèmes informatiques sont confrontés aux menaces. Une menace est un événement pouvant se produire à tout moment et que l’on craint. Selon leurs origines, les menaces peuvent être classifiées en deux catégories:
Menaces d’origine naturelle (incendie, inondation, séismes, etc.)
Menaces d’origine humaine (fuite, malveillance, espionnage, vol, etc.). Elles peuvent, en s’appuyant sur la puissance de l’informatique, causer des dommages d’une ampleur inédite.
La plupart des grandes entreprises ou organisations sont la cible de plusieurs d’attaques quotidiennes. Certaines attaques peuvent être bloquées automatiquement par des dispositifs (matériels et/ou logiciels) de sécurité, alors que d’autres attaques utilisant des procédés nouveaux auxquels ces dispositifs ne savent pas répondre, représentent un réel danger.
Risque ‘accident’
Cette catégorie regroupe tous les sinistres comme les incendies, dégâts des eaux, explosions, catastrophes naturelles, etc. Certains de ces risques ne peuvent être raisonnablement pris en compte (par exemple, un effondrement causé par la présence d’une ancienne carrière souterraine), d’autres peuvent être prévenus ou combattus (par exemple, un incendie), l’informatique n’étant alors qu’un des aspects du problème. Enfin, des mesures simples permettent de limiter les conséquences de certains accidents (par exemple, si la salle informatique est située au premier étage, on évitera la perte du matériel en cas d’inondation, même si celle-ci ne peut être combattue).
Risque ‘perte de services’
On range dans cette catégorie les coupures de courant, de télécommunications, les ruptures de stocks de fournitures essentielles, etc. Il existe des moyens permettant de palier à ces problèmes, notamment la redondance, les techniques statistiques et les alarmes. Quelques exemples concrets :
Onduleur et éventuellement groupe électrogène
Liaison satellite doublant la ligne spécialisée
Choix de fournitures disponibles auprès de multiples sources (et pas seulement de multiples fournisseurs d’une seule source)
Programmation d’interventions ou de remplacements préventifs
Ces mesures ont évidemment un coût, mais lorsqu’il s’agit d’un service vital, ce coût est de très loin préférable aux conséquences d’une perte de service. Remarquez que les pannes matérielles peuvent entrer dans cette catégorie : c’est évident pour les serveurs, mais les imprimantes d’une société d’affacturage peuvent également mériter certains égards.
Par contre une panne affectant un poste de travail banalisé n’a aucune importance : le remplacement d’un PC ne pose aucun problème et la panne n’affecte pas sérieusement la productivité de l’entreprise