Généralités sur la sécurité informatique
Introduction
L’univers des systèmes d’information composé de réseaux et d’architectures informatiques complexes prend un rôle et une place chaque jour plus importants dans les entreprises.
Cependant, l’actualité présentée par les médias nous démontre que ces systèmes d’information sont vulnérables et qu’ils peuvent subir des piratages, des attaques (virus, hackers...), des pertes de données, des sinistres. Il est donc indispensable pour les organisations de savoir définir et garantir la sécurité de leurs ressources informatiques.
Les bonnes pratiques présentées dans cet ouvrage définissent les moyens pour protéger dans un sens large le système d’information ou permettent de minimiser les risques encourus par l’entreprise dans l’usage de l’outil informatique.
Les nécessités de sécuriser son système d’information
Certains facteurs peuvent apparaître de l’ordre de l’évidence, comme la nécessité de protéger le patrimoine opérationnel de l’entreprise. Toutefois, l’ensemble des menaces n’est pourtant pas toujours bien identifié.
En outre, d’autres sont souvent méconnues, comme les obligations et responsabilités légales des dirigeants dans l’exploitation...
Les domaines et normes associés
La mise en œuvre de solutions de protection et de sécurité requiert de prendre des références par rapport à des normes ou des recommandations.
1. Les bonnes pratiques ITIL V4
ITIL (Information Technology Infrastructure Library) se compose d’un ensemble d’ouvrages qui listent, condensent et présentent les meilleures pratiques à utiliser dans le cadre de l’ensemble des services informatiques mis en œuvre dans une entreprise.
ITIL se décline en plusieurs versions depuis ses origines. La plus récente est la version 4, sortie en février 2019. Elle est présentée succinctement ci-dessous.
ITIL fournit un cadre de mise en œuvre des meilleures pratiques pour les systèmes d’information. Ce recueil de bonnes pratiques a évolué pour devenir l’outil de gestion du système d’information le plus largement adopté dans le monde.
L’objectif de la version 4 ne consiste pas à introduire de nouveaux principes de gestion des services, mais se présente comme une extension du cadre ITIL dont les bonnes pratiques ont été éprouvées.
Celles-ci, déjà incluses dans la version ITIL V3 sont toujours valables, toutefois sous une nouvelle approche en restant fidèle aux processus précédents.
Le cycle de vie des services a été abandonné dans ITIL 4 et les processus ont été remplacés par des pratiques.
ITIL 4 introduit toutefois des conseils supplémentaires, pour s’assurer que les personnes qui mettent en pratique ces recommandations comprennent mieux les principes et concepts fondamentaux tels que la création de valeur et la facilitation des résultats à obtenir.
ITIL 4 s’inspire également des tendances récentes en matière de développement de logiciels et de gestion du système d’information. Ce recueil de bonnes pratiques comprend des conseils sur la manière d’appliquer de nouvelles méthodes de travail, telles que Agile, Lean et DevOps, ainsi que la conduite du changement organisationnel dans le domaine de la gestion des services.
ITIL 4 se compose de deux composants-clés :
-
le modèle à quatre dimensions...
Le Règlement Général sur la Protection des Données - RGPD
Le RGPD (ou Règlement Général sur la Protection des Données) est présenté succinctement dans cette partie de l’ouvrage. D’une certaine façon, ce règlement prend en compte la sécurité et la protection des données.
Selon la présentation de la CNIL (Commission Nationale de l’Informatique et des Libertés): le RGPD est un texte de loi adopté par le Parlement Européen, en vigueur depuis le 28 mai 2018. Il a pour objectif de renforcer la protection des données personnelles des citoyens de l’Union européenne, en améliorant notamment la transparence sur la collecte de ces données et leur utilisation.
Les règles du RGPD s’appliquent aux organismes collectant et traitant des données à caractère personnel sur les résidents de l’Union européenne.
Les différents principes (éléments-clés de traitement) et le rôle de chacun des acteurs (responsable de traitement, délégué à la protection des données) sont répertoriés dans la présentation établie par la CNIL.
Il est à noter que les entreprises clientes/utilisatrices d’un environnement dans le Cloud sont toujours responsables de la sécurité...
Les risques informatiques
Avant de traiter ce qu’est un risque informatique, il convient de présenter quelques définitions.
1. Définitions
L’actif
C’est la partie d’un bien qui compose le patrimoine et présentant de la valeur pour l’entreprise. Il peut représenter : les équipements, les matériels, les logiciels, les brevets, les processus et activités métier...
Les menaces
Une menace est quelqu’un ou quelque chose qui peut exploiter une vulnérabilité pour obtenir, modifier ou empêcher l’accès à un actif ou encore le compromettre. Elle existe en corrélation avec une ou plusieurs vulnérabilités. Il peut y avoir aussi plusieurs menaces pour chaque vulnérabilité. La connaissance des différents types de menaces peut aider dans la détermination de leur dangerosité et des contrôles adaptés permettant de réduire leur impact potentiel.
La menace est une source effective d’incidents pouvant entraîner des effets indésirables et graves sur un actif ou un ensemble d’actifs, l’entreprise par elle-même.
Les menaces sont, en général, classées par :
-
origine ou source ;
-
type ;
-
motivation, action.
Elles peuvent être :
-
délibérées (vol, fraude, virus, hacking, incendie, attentat, sabotage, interception, divulgation ou altération de données...) ;
-
naturelles ou environnementales (tremblement de terre, éruption volcanique, inondation, coupure de courant, incendie...) ;
-
accidentelles (erreurs d’utilisation, omissions...) ;
-
dues à des pannes techniques : mauvais fonctionnement d’un équipement (électrique, réseau, matériel informatique), d’un logiciel.
Dans les menaces, celles venant de l’extérieur sont souvent prises en compte. Toutefois, il est aussi nécessaire de prendre en considération les menaces internes.
La plupart des solutions de sécurité les plus courantes se concentrent sur la détection des accès malveillants provenant de l’extérieur de l’entreprise. Ce qui est la logique même de la mise en place de protections.
Par contre, ces menaces sont particulièrement dangereuses...
La politique de sécurité
Elle a pour objectif de définir la protection des systèmes d’information de l’entreprise.
Elle comprend un ensemble de bases définissant une stratégie, des directives, des procédures, des codes de conduite, des règles organisationnelles et techniques. Elle implique une mise en œuvre d’une protection adaptée aux usages, économiquement viable et conforme à la législation.
Cette politique doit être formalisée dans l’entreprise sous forme d’un document. Il peut présenter le sommaire des pratiques qui régissent la manière de gérer, de protéger et de transmettre les informations critiques ou sensibles appartenant à l’organisation. La documentation sur la norme ISO 27001 et sa suite se trouvent dans cet ouvrage de référence.
Parmi les domaines qui doivent être présentés, il est recommandé d’inclure les thèmes sur :
-
L’organisation et les structures de l’entreprise impliquées dans la gestion de la sécurité.
-
Les éléments fondateurs d’une culture de sécurité.
-
Le maintien de la cohérence dans les solutions techniques implémentées.
-
Les moyens prévus pour la mise en œuvre et les méthodes de pilotage.
L’objectif central de cette politique consiste à protéger et à sauvegarder la pérennité du patrimoine informationnel de l’entreprise. C’est pour cela qu’elle doit être mise en œuvre et s’inspirer des besoins réels qui ont été définis à partir des évaluations des actifs, des menaces et des vulnérabilités. Elle impose...
Les principaux axes de la stratégie de sécurisation
1. Le diagnostic et l’évaluation des besoins
Cette étape préalable consiste à déterminer :
-
Les ressources et les applications à protéger et le pourquoi.
-
Le niveau de protection requis ou celui que l’entreprise est prête à mettre en œuvre pour chaque groupe d’éléments.
-
Le type de risque et de menace dont pourrait faire l’objet chaque actif ou sous-ensemble d’actif.
-
Le mode de protection le plus efficace selon le contexte de l’entreprise et de son activité métier.
La multiplicité des points de vulnérabilité dans l’aspect sécurité du système d’information implique une chaîne de points critiques dont la résistance sera égale à celle du maillon le plus faible.
Pour cela, le fait de concevoir une politique de sécurisation efficace et cohérente demande de considérer les points principaux suivants :
-
Les points d’entrée de l’entreprise au niveau système d’information :
-
les accès physiques (bâtiment, locaux...) ;
-
les accès logiques (serveurs, applications, postes de travail...) ;
-
les connexions au réseau : internes et externes (accès internet, accès au Cloud).
-
Les personnels.
-
Les failles de sécurité possibles sur les systèmes d’exploitation, applications.
2. Stratégies générales concernant la cybersécurité
Il n’existe pas que les ransomwares qui font partie des nombreuses menaces préjudiciables pour les entreprises, il existe aussi d’autres types d’attaques : par déni de service distribué (DDoS), Man in the Middle, l’ingénierie sociale, des menaces internes, des logiciels malveillants.
Cette stratégie doit être alignée avec les activités métier dans chaque organisation en prenant en compte toutes les menaces et toutes les vulnérabilités.
Les bonnes pratiques suivantes doivent être implémentées pour que l’entreprise se mette à l’abri des menaces actuelles et futures.
a. Création d’une culture orientée sécurité
Cela signifie que pour appliquer...
La sécurité et l’aspect légal
Risques et responsabilités de l’entreprise
La responsabilité de l’entreprise peut être engagée du fait d’un préjudice causé à un tiers par l’action d’une personne (intrus ou salarié) suite à une mauvaise utilisation des systèmes et des accès internet.
Les contraintes légales
Les entreprises sont assujetties à des contraintes administratives et réglementaires.
Un dirigeant ne peut ignorer les risques qu’il peut faire courir à son entreprise s’il ne met pas en œuvre les mesures nécessaires pour protéger son système d’information.
Comme il sera tenu pour responsable des pertes ou des altérations de données, il a donc pour fonction, dans le cadre de la sécurité informatique et de la loi sur l’économie numérique, d’informer son personnel des menaces réelles et de prendre les précautions nécessaires ; en premier lieu, les administrateurs système. Il délègue alors sa responsabilité au niveau de ces exploitants qui pourraient, à leur tour, être concernés.
Voici les articles de loi montrant les responsabilités du chef d’entreprise (civiles et pénales) :
-
L’article 1384 alinéa...
Conclusion
Après avoir posé les bases qui permettent de mieux comprendre les principes de la sécurité informatique dans une entreprise, les chapitres suivants vont développer les solutions à mettre en place pour être conforme avec l’intégrité, la confidentialité, la disponibilité des données en insistant sur les bonnes pratiques à mettre en place.
Les sujets traités seront plus en adéquation avec les systèmes d’exploitation Windows et Linux. Au moment de la rédaction du document, ils concernent les versions connues jusqu’à Windows Server 2022.
Toutefois, actuellement la plupart des environnements de systèmes d’information et des environnements informatiques sont multiplateformes. Il existera forcément des liens avec des systèmes du type open source. Les outils utilisables ne seront pas forcément issus de l’environnement Windows.