“Maîtriser la sécurité de l’information et des systèmes d’information”

Domaine D4

Compétence D4.1 : Maîtriser les processus d’une politique de sécurité pour participer à sa mise en place

La présentation de O. Servas concerne les PSSI : Politique de Sécurité des Systèmes d’Information, avec analyse de risques.

Les objectifs principaux sont pour nous de (re)découvrir des concepts sur la sécurité de l’information et des systèmes d’information.

Nous avons commencé la séance par la définition de quelques termes fondamentaux :

Sécurité : situation objective, reposant sur des conditions matérielles, économiques, politiques, qui entraîne l’absence de dangers pour les personnes ou de menaces pour les biens et qui détermine la confiance.

Confiance : croyance spontanée et acquise en la valeur morale, affective, professionnelle…d’une autre personne, qui fait qu’on est incapable d’imaginer de sa part tromperie, trahison ou incompétence.

Connaissance : action ou fait d’apprendre quelque chose par l’étude et/ou la pratique. Comprendre Internet c’est connaître les RFC (Request for Comments) (exemples : http, ftp…).

Valeur : personnelle, difficilement quantifiable. Par opposition au coût ou au prix, qui sont eux parfaitement quantifiables et mesurables et sont donc des grandeurs objectives dans notre société.

Liberté : « logiciel libre » fait référence à la liberté pour les utilisateurs d’exécuter, de copier, de distribuer, d’étudier, de modifier et d’améliorer le logiciel. Plus précisément, elle fait référence à quatre types de liberté pour l’utilisateur du logiciel.

 

En cas de fraude, de téléchargement illégal (Hadopi), de non-respect des droits d’auteur et des conditions d’utilisation, la législation du pays avertit, puis punit ! Toutefois, tous les pays n’ont pas le même politique de sanction.

Après ces premières slides, nous sommes passés à des exemples plus concrets de ce qui est présent –ou manquant !- dans nos machines et sur les serveurs que nous utilisons. Il est –de mon point de vue de non initié- incroyable de constater tant de données, comportements et stéréotypes cachées, de manière malveillante ou non !

J’ai par exemple appris l’existence des Easter eggs : il s’agit de programmes, applications, animations… cachés dans des fonctions que l’on utilise (comme Word, Chrome…). Un bon nombre d’Easter Eggs sont répertoriés sur la page Wikipedia (http://fr.wikipedia.org/wiki/Easter_egg). J’ai appris qu’ils étaient présents sur Linux, Android, Windows…Qu’ils ne concernent pas uniquement des applications de bureautique, mais aussi des navigateurs comme Chrome. Dans la mesure où aucune mauvaise intention n’est supposée, je trouve ces clins d’œil très amusants !

Comme déjà évoqué lors de la conférence de M. Zaninnotto, les entreprises appliquent parfois le principe du Bring Your Own Device, ce n’est cependant pas le cas pour les universitaires et dans le domaine de la recherche, pour des raisons de sauvegarde des données, et de sécurité. Mon tuteur de stage 2A m’a informé qu’un ordinateur local sera mis à ma disposition dès mon arrivée: ils souhaitent éviter la connexion de terminaux externes au réseau interne de l’entreprise.

Ainsi apparaît la notion de Gestion des Données.

Encore une fois, apparaît la nécessité (à tout niveau que ce soit : utilisation de l’ordinateur comme loisir, pour les études ou en milieu professionnel) de faire des sauvegardes régulièrement.

Internet est un système d’interconnexion de machines et constitue un réseau informatique mondial, utilisant un ensemble de protocoles standardisé. En réalité, ce sont notre machine et les autres qui constituent Internet (adresse IP, Mac adresse = adresse caractérisant l’interface de la carte réseau, qu’elle soit Wifi ou Ethernet, nom de domaine…). Si on va régulièrement sur un site, on est tracé (même s’il existe des façons de se « cacher »). J’avais déjà appris ça, mais ça m’étonne aujourd’hui encore, sachant qu’on se sent libre et en toute impunité lorsqu’on est devant son ordinateur…

La quantité de données sur Internet est tout simplement énorme: 1021 octet ! Il est de plus très difficile de supprimer des données qui y ont été publiées. Je trouve ça étrange que les données ne puissent pas être supprimées, dans la mesure où ça faciliterait peut-être la tâche des informaticiens, au lieu de devoir chercher toujours plus d’espace de stockage.

Il nous a aussi renvoyé sur le site de la CNIL, qui nous permet de savoir nos droits, nos libertés, nos responsabilités vis-à-vis d’Internet (http://www.cnil.fr/). Y est présenté un quizz express permettant de rendre l’internaute conscient des données qu’il laisse, après une analyse très superficielle de son ordinateur (http://www.cnil.fr/vos-droits/vos-traces/experience/). Du coup, il est assez angoissant de penser à toutes les données que peut récupérer un pirate connaisseur…

En somme, il s’agit pour l’internaute actuel de faire attention aux cookies (donc faire le ménage parmi les cookies, régulièrement), aux traceurs sur Internet, à la protection de la vie privée.

Après avoir souligné ce point, M. Servas est « passé du côté des malfaiteurs », j’entends par là qu’il nous a parlé des arnaques sur Internet (2 d’entre nous s’étant déjà fait avoir), et des attaques potentielles que l’on risque de subir (lui-même ayant été hacké sur son site !).

Il y a de nombreuses arnaques sur Internet, on peut les répertorier notamment sur arnaques-internet.com. Il existe –du moins pour les sites hébergés en France- des moyens d’attaquer ces sites en cas d’arnaque.

A titre d’exemple il y a récemment eu des arnaques aux bitcoins sur le monde virtuel (faisant notamment chuter son cours).

Les arnaques concernant le paiement sur Internet sont très nombreuses (mails frauduleux, sites leurres, fenêtres pop-up…). Si le site est français, il y a possibilité d’engager des poursuites (notamment en prenant le numéro Siren de l’entreprise).

Nous sommes revenus à des définitions pour embrayer sur les moyens de défense face aux attaques :

Vulnérabilité : permettre à un individu d’exécuter des commandes en tant qu’utilisateur à part entière, d’accéder à des données malgré leur caractère confidentiel, de se faire passer pour quelqu’un d’autre, de provoquer un déni de service.

Risque : danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité.

Il s’agit en effet de limiter au maximum la vulnérabilité (par analyses antivirus, mises à jour…) pour pallier aux failles de sécurité et se protéger du mieux possible. Cependant, aucun système d’exploitation n’est à l’abri (malgré les idées reçues, notamment sur Mac).

Les attaques ne se font pas uniquement sur des personnes, mais aussi sur des sites. Différents types d’attaques sont énumérés, dont voici une liste non exhaustive :

-interruption de service (qui consiste à envoyer plein de requêtes à un site). Par exemple, Ping (qui est en outre facile à réaliser…)

-interception de trafic

-altération de l’intégrité des données

-mascarade, usurpation d’identité

 

Les causes de telles attaques, i.e. les paramètres sur lesquels influencer, sont essentiellement : un mot de passe trop faible ou trop simple, des paramétrages par défaut mal adaptés, des logiciels obsolètes, pas de mise à jour, pas de suivi de l’activité…

Il y a certes souvent besoin d’être administrateur pour agir sur un ordinateur, cependant bénéficier des droits d’administrateur est aisé pour un connaisseur.

Enfin, tout le monde est capable de créer un virus (publication et choix du vecteur de transmission, incubation du virus et phase de duplication dans le ou les systèmes infectés). Les phases actives du virus : détection, mise au point d’une parade, anti-virus. Malheureusement, certains virus ont des conséquences dévastatrices, et des coûts exorbitants s’en suivent…

Concernant le système Windows, M. Servas conseille fortement l’utilisation d’un antivirus, de bien installer les mises à jour sécurité, et de sauvegarder à la fois système et données. Enfin de ne pas utiliser le compte Administrateur, mais un compte Utilisateur.

Il existe des logiciels (comme Hijackthis) qui permettent de « scanner » l’ordinateur, et d’en ressortir les fichiers à supprimer pour le préserver en toute sécurité.

Enfin, M. Servas a fini par nous conseiller de télécharger Microsoft Baseline Security pour la prochaine fois (qui réalise une analyse globale de la sécurité de l’ordinateur).

 

Compétence D4.2 : Distinguer les acteurs de la mise en place de la politique de sécurité et identifier leurs responsabilités légales

M. Zaninotto nous a dit qu’une information sur Internet n’est pas forcément libre d’accès, en effet elle est souvent publiée sous une licence qui définit les droits et les devoirs du lecteur. Il existe aussi des licences libres (qui présentent au moins l’obligation de nommer l’auteur), et des licences libres sans obligation (les open sources). Si la source ne présente pas de licence, on n’a pas le droit d’exploiter l’outil.

En entreprise, l’employé n’a pas le droit de cliquer sur « J’accepte » sans accord préalable des organes décisionnels. En effet ce serait mettre en jeu la responsabilité de toute l’entreprise par ce simple clic.

L’informatique mélange la vie professionnelle et la vie privée. Entre l’ordinateur et le smartphone ou la tablette, l’employé a toujours moyen de répondre aux demandes de l’employeur sous de brefs délais. Il s’agit pour lui de veiller à ne pas trop en faire et à se préserver du burn-out.

Inversement, si on utilise l’ordinateur professionnel pour envoyer des mails personnels, chater ou autre, à la fois l’entreprise et l’employé sont responsables…Il s’agit donc d’être très vigilant sur ce que l’on fait en entreprise (sachant par exemple que l’employeur ne peut exiger d’avoir accès aux courriels d’un employé).

Enfin, nous avons traité de la sécurité en général.

Qui mieux qu’un criminel peut utiliser tous les moyens informatiques et les transformer en richesse ?

Au cours du cursus professionnel, il est quasiment certain que toute personne se fait hacker, et/ou voler des données, pour deux raisons : d’une part il n’y a pas de système qui soit à l’abri, d’autre part il est très facile de lancer des attaques informatiques. D’où l’intérêt du RSSI (responsable de la sécurité des systèmes informatiques) dans une entreprise. Ceci explique également pourquoi les outils informatiques en entreprise sont beaucoup plus onéreux que ceux pour le secteur personnel : il faut gérer toutes les menaces de sécurité, étudier l’aspect licences…

 

Compétence D4.3 : Identifier et hiérarchiser les informations afin de les exploiter de façon adéquate

A titre d’illustration, voici deux travaux que nous avons eu à faire lors de la séance 12, concernant la recherche d’informations et leur exploitation « intelligente ».

TP sur les enjeux économiques de la régulation des TIC en Afrique

http://www.ferloo.com/Montres-intelligentes-Samsung-Sony-et-Qualcomm-sont-a-l-heure_a3348.html

Article

Des montres connectées commencent à se développer (Samsung, Sony, Qualcomm…) avec l’expansion des smartphones. C’est un marché très prometteur.

Elles sont liées aux smartphones, tablettes via Bluetooth, permettent de gérer le baladeur audio, de prendre des photos, de recevoir des SMS, des mails, et des appels. La différenciation entre elles se fait via la compatibilité (adaptabilité des montres aux terminaux), le prix et l’autonomie de ces montres.

Les montres ne sont pas des outils indépendants, mais se définissent comme des extensions des terminaux (hors mis les photos, on ne peut rien faire directement).

Contrairement à la Galaxy Gear (250€), la Qualcomm Toq (350€) est compatible avec tous les terminaux Android, mais est la plus chère (par comparaison avec la Sony Smartwatch : 180€, qui elle permet aussi d’écouter de la musique, tout comme la Gear).

La tendance actuelle est enfin de renforcer l’étanchéité des montres, afin qu’elles permettent de prendre des photos même sous l’eau.

Réflexion personnelle

  • Le prix de ces montres me rend encore très réticent à en acheter une, surtout que son achat suit logiquement l’acquisition d’un smartphone. En effet, quand on achète le dernier smartphone d’une marque, il faut déjà dépenser plus de 500€ en général. Si en plus on souhaite acquérir la montre connectée associée, il faudra dépenser plusieurs centaines d’euros en plus, pour un objet qu’en définitif je ne trouve pas très utile.
  • De plus, je ne saisis pas encore totalement l’intérêt de ces montres : sachant que pour qu’elles fonctionnent, le smartphone ne doit pas être très éloigné de la montre, on peut supposer que l’utilisateur –qui porte la montre à son poignet- aura son téléphone dans sa poche. Donc quand il reçoit un mail ou un appel, je comprends difficilement pourquoi il aurait plutôt tendance à regarder sa montre plutôt que sortir son téléphone de sa poche, et ainsi avoir accès à beaucoup plus d’options (répondre, augmenter le son…).
  • En somme, je pense qu’une montre connectée représente plus une menace qu’autre chose : menace de dépendre de l’autonomie de cette montre –en plus de la dépendance à celle du téléphone, de la tablette, de l’ordinateur…-, de dépendre de la connectivité encore plus qu’avec un téléphone…
  • Enfin, avec le nombre croissant de tâches qu’est capable de réaliser un smartphone, je pense que celui-ci peut se substituer à d’autres appareils, et ne doit pas nécessairement appeler l’achat d’autres appareils connectés.
  • Pour finir, fait intéressant : Apple, qui est toujours à la pointe des innovations en termes de smartphones, n’a pas encore proposé de montre connectée. C’est peut-être parce que leurs études ont montré que ce marché ne serait pas si prometteur qu’il le semble.

Articles sur le Numérique, l’Ingénieur et l’Entreprise

Thème : gestion des données sur le Cloud

“Les bienfaits de la résilience du Cloud et ce qu’elle ne garantit pas”, http://blog.ontrack.fr/les-bienfaits-resilience-du-cloud-ce-quelle-garantit-pas/

Le Cloud est doté d’une faculté d’adaptabilité (la résilience): doté d’une certaine souplesse, il peut à la fois s’adapter à une multitude de supports (smartphones, tablettes, ordinateurs…) et à des fluctuations indépendantes de la volonté de l’utilisateur (par ex pertes de données). La récupération des données serait rendue possible à partir d’un identifiant et d’un mot de passe.

De plus le Cloud se synchronise automatiquement, ce qui permet d’avoir les documents à jour sur tous les supports en instantané. On peut ainsi travailler à partir de n’importe où, n’importe quand.

Mais cela est risqué pour des données sensibles, puisque la connaissance d’un mot de passe pourrait suffire pour y accéder. Pour contourner ces risques, il faut mettre en œuvre des stratégies de sécurité : les modes d’accès multi-facteurs : possibilité d’une « clé » (ex : mot de passe supplémentaire, téléphone, périphérique à connecter à l’interface, lieu d’où a lieu l’opération…) qui assurerait que l’utilisateur seul peut avoir accès aux données.

Il faudrait de plus que chaque document sur le Cloud soit multi-sauvegardé, afin qu’une suppression –involontaire ou malveillante- sur un des supports ne supprime pas les données du document.

Ainsi, avec la multiplication des supports d’information et de travail, la résilience du Cloud est son plus grand atout. Elle peut également se retourner contre ses utilisateurs, avec le risque pour eux de perdre leurs données, ou pire, de les voir libérées dans la Nature. D’où l’intérêt et la nécessité de protéger les données qu’on met sur le Drive, notamment par des sauvegardes à différents endroits, et sur différents supports. Même si cela pose des contraintes de capacité et de matériel.

 

Compétence D4.4 : Évaluer la sûreté des procédures et connaître la limite des outils permettant de traiter l’information, selon le lieu et le mode d’accès

Lors de la présentation de S. Nowakowski, nous avons (re)découvert des outils de travail collaboratif comme Prezi, Dropbox, Coggle, et pu les utiliser. J’ai notamment appris que lorsqu’on dépose des documents sur Dropbox ou Prezi entre autres, on est dépossédé de nos droits sur ces documents ! Cela m’a vraiment étonné et j’utilise moins ces outils maintenant, surtout pour des présentations « sensibles » (exemple : atelier Artem avec des données sur le groupe Cora).

Lors de la présentation de M. Zaninotto, nous avons évoqué l’outil informatique en lui-même.

L’idée essentielle est que la tendance actuelle pour les entreprises est de passer d’un mode d’achat à un mode de location :

  • L’Iaas (Infrastructure as a Service) concerne la gestion des ressources informatiques. Il s’agit de rendre plus commodes les moyens informatiques (l’entreprise achètera de la capacité brute). Le fournisseur leader en Cloud Iaas est actuellement Amazon Web Service.
  • Le Paas (Platform as a Service) permet aux entreprises d’acheter des utilisateurs simultanés
  • Le Saas (Software as a Service), qui est la troisième évolution de la tendance. Il vise à louer des applications au lieu de les acheter (pack Office, Photoshop…).
  • Ainsi l’Iaas est une location partielle de serveurs, le Paas une location partielle de serveurs avec des fonctions précises, et le Saas une location des services-même.

Il est en outre de plus en plus question de la tendance “Bring your Own Device”: il s’agit pour l’employé de venir au boulot avec son propre ordinateur portable et de le brancher sur le réseau de l’entreprise le temps du travail. Un des principaux problèmes de cette nouvelle tendance est que, si l’employé doit télécharger un logiciel nécessaire pour ses fonctions, et qu’il quitte l’entreprise, de savoir comment cette dernière va récupérer la licence…Le BYOD pose d’autres problèmes : la sécurité, l’assurance de l’ordinateur, et rend l’employé responsable de la configuration de sa machine (elle doit être assez puissante pour permettre l’exercice de ses fonctions).

De plus, à partir du moment où l’employé apporte son ordinateur dans l’entreprise, il accepte la responsabilité que ses informations soient diffusées dans l’entreprise. Celle-ci se doit en amont de prévenir l’employé de tout ce à quoi il s’expose en termes de responsabilités et de risques, avant de l’autoriser à pratiquer le BYOD.

 

Compétence D4.5 : Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires

Dans l’intervention de M. Zaninotto, nous avons vu que l’entreprise doit également informer l’employé des quotas d’utilisation des serveurs (taille de la messagerie…), dont les capacités sont souvent insuffisantes ! On est obligé de faire « le ménage » régulièrement (une fois par an), ce qui est consommateur de temps. Les fichiers créés au sein de l’entreprise ne sont pas stockés sur le disque dur local de l’ordinateur (risque de perte des données si l’ordinateur plante), mais sur un répertoire partagé (sur lequel les employés ont aussi un quota), qui lui est sauvegardé régulièrement.

En plus des ordinateurs, le service informatique s’occupe d’autres outils auxquels on prête peut-être moins d’attention (badges, serveur vocal, serveur Exchange…), et il peut effectuer des mises à jour à distance.

Pour son espace partagé, une entreprise loue une partie d’un Data Center, appelé une baie de disques.

Deux entreprises françaises (Cloudwatt et Numergy), financées par l’Etat à hauteur de 450 M€, développent un « cloud à la française », tel que les Data Center soient en France. Il faut alors distinguer le cloud privé (les serveurs appartiennent à une entreprise) du cloud public.

Puis M. Zaninotto nous a présenté le domaine du Disaster Recovery, qui présente le Plan de Continuation d’Activité  et le Plan de Reprise d’Activité.

L’idée principale est la suivante : si les serveurs plantent, l’entreprise doit pouvoir continuer son activité. Ainsi, une infrastructure de sécurité tourne en même temps que l’infrastructure maîtresse (PCA) ; ou l’infrastructure maîtresse doit pouvoir être rétablie rapidement (typiquement, en quelques jours) (PRA).

Ceci nécessite un doublement des infrastructures, et est très coûteux, surtout que l’infrastructure de sécurité est quasiment inutilisée (sauf pour des tests). C’est en raison des coûts élevés que le Cloud est de plus en plus utilisé pour développer des PCA et des PRA (sachant que le premier aspect du Cloud, i.e. son offre de base, consiste en la sauvegarde de données comme sur Dropbox, ou Google Drive).

Un problème majeur du Cloud est cependant qu’il est polluant (il consomme 3 % de l’énergie mondiale, ce qui est énorme), surtout que les serveurs chauffent beaucoup donc doivent être climatisés (ce qui participe au phénomène de pollution).

En guise de transition avec la partie suivante, il nous a été rappelé qu’autant Dropbox que Google Drive ne sont pas prisés des entreprises françaises, pour la raison que ce sont des applications américaines : l’entreprise française n’est pas très encline à déposer des données sur un serveur américain…

Nous avons en effet enchaîné sur la confidentialité informatique.

En réponse au Patriot Act américain (qui oblige une entreprise comme Google, Microsoft, Hotmail, à mettre à disposition des institutions américaines les données privées), l’Union Européenne a voté il y a moins de dix ans le Safe Harbor, qui vise à concilier les droits de protection sur la vie privée avec ce Patriot Act. Par là-même, le Safe Harbor travaille sur des questions de confidentialité et de sécurité.

La législation n’est pas la même aux Etats-Unis et en Europe : par exemple en France, toute institution ou entreprise souhaitant stocker des données personnelles a l’obligation d’en informer la CNIL (Commission Nationale Informatique et Libertés).

Concernant le service informatique, le statut est clairement explicité par la loi : il est soit hébergeur soit éditeur. LeMonde.fr est par exemple éditeur, alors que Youtube est hébergeur (il ne contrôle pas les vidéos qui y sont déposées, donc n’en est pas responsable). La jurisprudence annonce de gros changements de législation en perspective ; sachant que dans les deux cas (hébergeur et éditeur) la fonction « signaler un abus » doit être proposée sur le site. C’est au rôle de la Direction des Affaires Juridiques de veiller au respect de la Loi dans l’entreprise.

Dans un second temps, nous avons poursuivi la présentation de M. Servas lors de la séance du 8 avril.

Si on se connecte dans un environnement bien défini, on est obligé d’appliquer une stratégie bien particulière (par exemple, on peut être amené à changer de mot de passe tous les mois…).

Ces problématiques traitées lors de la première séance (virus, intrusions malveillantes…) se transposent également aux systèmes des smartphones, alors que les données y sont très sensibles, et permettraient de très bien connaître le propriétaire en cas d’intrusion (contacts, multimédia…).

Il existe de très nombreux protocoles (HTTP, FTP, DNS, SNMP, DHCP…), définis dans les RFC (vus la séance précédente). En plaçant des éléments qui structurent le réseau (en fonction de comment on veut faire les choses), on peut ainsi construire une architecture réseau sécurisée.

Sur le Web, parmi les deux mécanismes de protocole (http et https), seul https est sécurisé car crypté. Le cryptage des données permet de rendre inaccessible certains types d’information (pour des questions évidentes de sécurité). Par exemple, les virements monétaires en https sont sécurisés et cryptés. Cela permet de répondre aux besoins de confidentialité, de contrôle d’accès, d’intégrité des données, d’identification et de non répudiation (M. Servas nous a indiqué le site http://www.bibmath.net/crypto/index.php : à titre d’exemple, le codage de César rend les messages illisibles, par décalage de trois lettres dans l’alphabet).

Il existe deux types de chiffrement :

  • Chiffrement symétrique : le destinataire du message possède la clé pour déchiffrer le message. Ce chiffrement se révèle très puissant et intéressant, mais pose des problèmes de clé (le destinataire doit avoir de nombreuses clés, pour pouvoir déchiffrer tout message).
  • Chiffrement asymétrique : une clé pour l’émetteur, une pour le destinataire. Il n’y a donc plus les problèmes soulevés par le chiffrement symétrique. Concernant la cryptographie asymétrique, on voit apparaître une condition nécessaire pour la sécurité : le nombre de clé possibles doit être suffisant pour qu’il ne soit pas possible en un temps raisonnable de les essayer toutes (ex : une clé de série sur 128 bits donne 2128 possibilités !). Dans un tel cas on peut raisonnablement penser que l’algorithme en question est sûr.

La stéganographie consiste à lire une ligne sur deux (cf correspondance entre George Sand et Alfred de Musset) : il s’agit par-là de cacher des informations dans un autre contenu (ici dans du texte). On peut aussi cacher un filigrane (billets de banque), ou cacher de l’information dans des images (astuce détectable via la taille de l’image), par exemple pour y introduire le copyright.

La signature électronique est une autre méthode pour protéger les données.

Ensuite, les certificats permettent d’être sûr de la clé publique d’une personne. Ces certificats, délivrés par une Autorité de Certification, contiennent un certain nombre de données personnelles (une politique de certification étant l’étude des moyens de collecte des informations, de leur validation et de la création des certificats, c’est-à-dire l’ensemble de règles indiquant ce pour quoi le certificat est applicable et par qui, et quelles sont les conditions de leur mise en œuvre au sens juridique, administratif et technique).

A titre d’exemple : https://igc.services.cnrs.fr/search_user_certificate/?CA=CNRS2-Standard&lang=fr&body=search_user.html avec « Servas » dans la barre de recherche. On télécharge alors le certificat. Il faut le rajouter dans le navigateur Chrome, afin qu’il soit pris en compte lorsqu’on est sur le site du CNRS.

Ce qui ressort est donc qu’il n’y a pas un seul outil qui peut garantir une sécurité optimale ou intégrale. Il faut utiliser un ensemble de systèmes pour assurer la sécurité, du moins pour minimiser les risques.

Après une présentation des outils, nous avons abordé le Droit, qui passe par la déontologie, les chartes d’utilisation des ressources (au sein de l’UL, des Mines…d’où l’importance de lire les chartes avant de les signer), et les règles et lois sur Internet (droit d’auteur, marques, bases de données, vie privée…).

  • http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/ propose des recommandations pour la politique de sécurité, en entreprise notamment : sécurité de messagerie, des réseaux, des systèmes industriels…Il propose également une autoformation.
  • Nul n’est à l’abri d’une action malveillante ou de messages non sollicités. On peut alors signaler un contenu illicite, ou un abus. Notamment, le site http://www.cert.ssi.gouv.fr/ répertorie les vulnérabilités dans le monde. Pour chacune, il faut apporter un correctif afin d’éviter l’utilisation de la vulnérabilité. Le problème majeur étant que les attaquants aussi ont accès aux vulnérabilités…
  • Ce qu’il faut en retenir est que tout bouge, et en permanence. Il est crucial de se tenir au courant afin de limiter l’exposition aux risques.

Comme dit plus haut, il devient également possible de s’autoformer en prévention des risques. En cas d’attaque constatée (infection par des chevaux de Troie ou virus), des sites répertorient les démarches à adopter : http://www.securite-informatique.gouv.fr/gp_article98.html.

Si on a vraiment été piraté (ordinateur ou même téléphone portable), il faut porter plainte. Ne serait-ce que pour faire marcher l’assurance, et se protéger d’éventuelles utilisations malveillantes de notre appareil détourné (par exemple si le pirate utilise notre machine pour attaquer ailleurs). Il faut également contacter la Répression des Fraudes.

M. Servas a insisté sur la fatalité des attaques : il est quasiment certain que chacun de nous se fera un jour pirater, attaquer, et perdra toutes ses données. D’où, encore une fois, l’extrême importance de sauvegarder ses données en lieu sûr.

Nous avons enfin parlé des normes.

Il s’agit en effet d’établir des règles qui, si elles doivent s’appliquer partout, doivent respecter certaines normes. Ce sont des documents de référence, fondés sur un consensus couvrant un large intérêt. En somme, ce sont des labels de confiance. A titre d’exemple, la norme ISO 27000 / Sécurité de l’information décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information. Le problème des normes ISO, est qu’elles sont payantes et très chères…

Comme critères, on répertorie notamment le critère TCSEC (évaluer la fiabilité des systèmes informatiques centralisés, élaboré par les Etats-Unis) et le critère ITSEC (en France).

L’analyse de risque en 8 étape obéit au schéma : Identifier ce qu’il faut protéger – identifier les menaces – identifier les points faibles – estimer la probabilité de risques – calculer les prévisions  de pertes annuelles pour chaque point faible – identifier les mesures protectrices nécessaires – estimer la réduction du point faible pour chaque mesure protectrice – sélectionner les meilleures mesures de protection.

L’autoformation évoquée plus haut s’applique également à l’analyse de risques : http://www.securite-informatique.gouv.fr/autoformations/ebios/co/publications_web.html (screenshot ci-dessous).

Enfin, les SMSI (Système de Management de la Sécurité de l’Information) fonctionnent selon un modèle cyclique en 4 étapes (PCDA : Plan, Do, Act, Check) = roue de Deming :

-définir la politique et le périmètre du SMSI

-identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité (-> EBIOS)

-traiter le risque et identifier le risque résiduel par un plan de gestion

-choisir les mesures de sécurité à mettre en place

 

En conclusion, nous avons vu avec M. Servas quels sont les principaux risques auxquels nous nous exposons en utilisant l’outil informatique. J’ai pu saisir l’importance fondamentale de conserver mes données ailleurs que sur mon ordinateur, et serai plus vigilant à l’avenir, à la fois sur les messages d’erreur, les conventions que je coche sans réfléchir lors de l’installation de logiciels, et mon utilisation d’outils divers.