La sécurité informatique dans la petite entreprise Jean ...multimedia.fnac.com/multimedia/editorial/pdf/9782746098756.pdf · gérées à l’aide de pratiques simples et d’un

La sécurité informatique dans la petite entrepriseEtat de l’art et Bonnes PratiquesJean-François CARPENTIER

La sé

curi

té in

form

atiq

ue d

ans l

a pe

tite

entr

epri

se

La sécurité informatique dans la petite entreprise Etat de l’art et Bonnes Pratiques Ce livre sur la sécurité informatique dans la petite entreprise (PME) s’adresse aux administrateurs systèmes et réseaux et plus généralement à toute personne appe-lée à participer à la gestion de l’outil informatique dans ce contexte (chef d’entreprise, formateur...).L’auteur identifie les risques qui rendent l’entreprise vulnérable : menaces externes (In-ternet) ou internes, logiciels malveillants et attaques affectant le système d’information. Il présente les contraintes en termes de compétitivité et vis-à-vis de la confor-mité aux réglementations qui imposent aux responsables d’entreprise de protéger leurs données stockées ou en transfert. Comme aujourd’hui le système d’information s’étend largement hors des frontières de l’entreprise, cette nouvelle édition du livre tient compte des nouveaux modèles technologiques que sont l’utilisation des termi-naux mobiles de type Smartphone, le Cloud Computing et les Objets Commu-niquants qui imposent la mise en œuvre de nouvelles stratégies de protection. Pour chaque sujet l’auteur reprend l’inventaire des risques, détaille des solutions efficaces à mettre en œuvre ou propose des recommandations pertinentes en rap-port avec la criticité des informations, le contexte de l’entreprise et sa taille. En effet, dif-férentes technologies existent tant sur la partie système que réseau et demandent à être gérées à l’aide de pratiques simples et d’un minimum de bon sens pour garantir l’intégrité, la confidentialité, la disponibilité des données et des applications. Sensibiliser le lecteur à tous ces aspects de la sécurité l’aidera à mieux maîtriser les ou-tils dont il dispose notamment pour la gestion des accès aux serveurs, aux postes de travail, aux terminaux mobiles. Les recommandations décrites dans ce livre couvrent les domaines du réseau, du système, de la sauvegarde et aussi les solutions de reprise du système d’information pour les activités métier.La survie de l’entreprise est à la mesure des précautions mises en œuvre et de la connaissance des nouvelles technologies.

Jean-François CARPENTIER est ingénieur en système d’informa-tion depuis près de 30 ans. Titu-laire d’un diplôme d’ingénieur DPE, il a exercé son activité au sein de grands comptes de l’industrie et des services et a œuvré dans les domaines techniques et fonc-tionnels des systèmes dans des environnements complexes. Très à l’écoute des nouveaux concepts technologiques il collabore en ligne avec des groupes de profes-sionnels sur les aspects de la sécu-rité des systèmes d’information.

Avant-propos • Généralités sur la sécurité informatique • La sécurité dans l’entre-prise - Le réseau • La sécurité dans l’entreprise - Les systèmes • Mobilité et sécurité • La sécurité des données • Le plan de secours informatique • Le Cloud Computing • Internet des objets ou Internet of Things • Annexe

Les chapitres du livre

isbn

: 978

-2-7

460-

9875

-6

3ième édition

Nouvelle édition

45 €

Pour plus d’informations :

1Table des matières

Avant-propos

Chapitre 1Généralités sur la sécurité informatique

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2. Les domaines et normes associés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.1 Les bonnes pratiques ITIL V3 . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.1.1 La stratégie des services (Service Strategy) . . . . . . . . . . . . 192.1.2 La conception des services (Service Design) . . . . . . . . . . . 212.1.3 La transition des services (Service Transition) . . . . . . . . . 232.1.4 L’exploitation des services (Service Operation) . . . . . . . . 262.1.5 L’amélioration continue des services

(Continual Service Improvement - CSI) . . . . . . . . . . . . . . 282.1.6 La gestion des configurations

(Configuration Management) . . . . . . . . . . . . . . . . . . . . . . 302.1.7 La gestion de la disponibilité

(Availability Management) . . . . . . . . . . . . . . . . . . . . . . . . 312.1.8 La gestion de la sécurité (Security Management). . . . . . . 31

2.2 La méthode PDCA ou roue de Deming . . . . . . . . . . . . . . . . . . . . 322.3 La norme ISO 20000. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342.4 Les normes ISO 270xx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

3. Les risques informatiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403.1 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403.2 Les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423.3 Les menaces et leurs impacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433.4 La gestion du risque informatique. . . . . . . . . . . . . . . . . . . . . . . . 46

4. La politique de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544.1 Les principes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.2 L'élaboration du document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574.3 Les outils associés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

2dans la petite entreprise

La sécurité informatique

5. Les principaux axes de la stratégie de sécurisation. . . . . . . . . . . . . . . 595.1 Le diagnostic et l'évaluation des besoins . . . . . . . . . . . . . . . . . . . 595.2 Les plans opérationnels de sécurité . . . . . . . . . . . . . . . . . . . . . . . 605.3 L'accès aux systèmes et aux données. . . . . . . . . . . . . . . . . . . . . . 60

5.3.1 La protection physique. . . . . . . . . . . . . . . . . . . . . . . . . . . . 605.3.2 La protection logique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615.3.3 Identification et traçabilité . . . . . . . . . . . . . . . . . . . . . . . . 61

5.4 La garantie de la disponibilité du système d'information . . . . . 625.5 La sensibilisation des utilisateurs à la sécurité . . . . . . . . . . . . . . 63

6. La sécurité et l'aspect légal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

7. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

Chapitre 2La sécurité dans l’entreprise - Le réseau

1. Prérequis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

2. Généralités sur la sécurité dans les réseaux. . . . . . . . . . . . . . . . . . . . . 672.1 Introduction à la technologie des pare-feu . . . . . . . . . . . . . . . . . 692.2 Les fonctionnalités de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . 722.3 Les différents types de pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . 732.4 Choix d’un dispositif de pare-feu pour l’entreprise . . . . . . . . . . 752.5 La politique de configuration de pare-feu . . . . . . . . . . . . . . . . . . 762.6 Stratégie d’implémentation de pare-feu . . . . . . . . . . . . . . . . . . . 78

2.6.1 Les règles dans un pare-feu . . . . . . . . . . . . . . . . . . . . . . . . 782.6.2 Guide de bonnes pratiques de mise en place

d’environnements de pare-feu . . . . . . . . . . . . . . . . . . . . . . 852.6.3 Les pare-feu spécifiques . . . . . . . . . . . . . . . . . . . . . . . . . . . 892.6.4 La haute disponibilité dans l’implémentation

des pare-feu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892.7 Les réseaux DMZ (DeMilitarized Zone) . . . . . . . . . . . . . . . . . . . 91


3. Les réseaux privés virtuels d’entreprise . . . . . . . . . . . . . . . . . . . . . . . . 933.1 Présentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933.2 Le serveur VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 943.3 Les catégories de VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

3.3.1 Les VPN utilisateur-site . . . . . . . . . . . . . . . . . . . . . . . . . . . 963.3.2 Les VPN site-site . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

3.4 Précautions d’utilisation de la fonctionnalité du VPN et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

3.5 Les protocoles liés à la sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . 99

4. Les composants utilisés dans les réseaux et la sécurité . . . . . . . . . . 100

5. Les systèmes de détection et de prévention d’intrusion . . . . . . . . . 100

6. Les serveurs DNS (Domain Name Service) . . . . . . . . . . . . . . . . . . . 105

7. Les autres technologies utilisées dans les réseaux d’entreprise et la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077.1 Le Wi-Fi et le réseau sans fil . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077.2 La technologie CPL (courant porteur en ligne) . . . . . . . . . . . . . 111

Chapitre 3La sécurité dans l’entreprise - Les systèmes

1. Objectifs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

2. La disponibilité des données et des systèmes . . . . . . . . . . . . . . . . . . 1132.1 Concepts et principes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1132.2 La disponibilité des données . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

2.2.1 La technologie RAID (Redundant Array of Inexpensive Disks) . . . . . . . . . . . . 114

2.2.2 Le réseau de stockage SAN (Storage Area Network) . . . 1162.2.3 La technologie NAS (Network Attached Storage) . . . . . 121

2.3 La disponibilité des systèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . 1222.3.1 Les clusters de serveurs Windows . . . . . . . . . . . . . . . . . . 1232.3.2 La virtualisation de systèmes. . . . . . . . . . . . . . . . . . . . . . 1252.3.3 La virtualisation et la réplication de serveurs . . . . . . . . . 126



2.3.4 La virtualisation du stockage . . . . . . . . . . . . . . . . . . . . . 127

3. La disponibilité de l’infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . 1283.1 Énergie électrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283.2 Réseau de communications . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

4. Identification et authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . 1284.1 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1284.2 Implémentation de systèmes d’identification

et d’authentification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1304.3 Mécanismes de contrôle d’accès . . . . . . . . . . . . . . . . . . . . . . . . 131

4.3.1 Contrôles d’accès logiques . . . . . . . . . . . . . . . . . . . . . . . . 1314.3.2 Contrôles d’accès internes . . . . . . . . . . . . . . . . . . . . . . . . 1324.3.3 Contrôles d’accès externes . . . . . . . . . . . . . . . . . . . . . . . . 1324.3.4 Administration des contrôles d’accès . . . . . . . . . . . . . . . 1324.3.5 Les outils ou solutions de contrôle d’accès . . . . . . . . . . . 133

4.4 La signature numérique ou signature électronique . . . . . . . . . 1344.5 Infrastructure de chiffrement à clés publiques . . . . . . . . . . . . . 1354.6 La mise en place d’une infrastructure

de chiffrement à clés publiques . . . . . . . . . . . . . . . . . . . . . . . . . 139

5. Sécurité physique et environnementale . . . . . . . . . . . . . . . . . . . . . . 140

6. Les protections contre les virus et programmes malveillants . . . . . 1416.1 Les virus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1416.2 Les autres programmes malveillants . . . . . . . . . . . . . . . . . . . . . 142

7. Les bonnes pratiques de sécurité dans le cadre d’un système d’information . . . . . . . . . . . . . . . . . . . . 1457.1 Les bonnes pratiques générales . . . . . . . . . . . . . . . . . . . . . . . . . 1457.2 La gestion des comptes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146

7.2.1 Conseils à destination des administrateurs . . . . . . . . . . 1467.2.2 Les bonnes pratiques de gestion des comptes

et des mots de passe pour les utilisateurs . . . . . . . . . . . . 148


7.3 Les mécanismes de contrôle et de vérification . . . . . . . . . . . . . 1527.3.1 Les mécanismes de contrôle d’accès . . . . . . . . . . . . . . . . 1527.3.2 Les contrôles d’accès logique . . . . . . . . . . . . . . . . . . . . . . 1537.3.3 Revues et audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1537.3.4 Les anomalies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1547.3.5 La surveillance des systèmes . . . . . . . . . . . . . . . . . . . . . . 155

7.4 La protection des serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1587.5 La protection des postes de travail . . . . . . . . . . . . . . . . . . . . . . 1607.6 La protection des périphériques d’impression

de documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1617.7 Bonnes pratiques de sécurité à destination

de l’administrateur système et réseau . . . . . . . . . . . . . . . . . . . . 1627.7.1 Cas des mots de passe d’administration des serveurs . . 1637.7.2 Centralisation des mots de passe. . . . . . . . . . . . . . . . . . . 163

7.8 Exemples d’outils de contrôle de mise à jour des protections sur Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . 165

7.9 Sécurité physique des accès à la console des systèmes . . . . . . . 1667.10 Documentation de configuration de l’infrastructure. . . . . . . . 1667.11 La veille technologique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

8. Bonnes pratiques d’administration spécifiques à Windows . . . . . . 1678.1 Politique de verrouillage de compte. . . . . . . . . . . . . . . . . . . . . . 1678.2 La politique de sécurité d’accès aux comptes

via Kerberos sur les plateformes Windows . . . . . . . . . . . . . . . . 1678.3 Protocole d’authentification par défaut

dans Windows Server 2008/2012 . . . . . . . . . . . . . . . . . . . . . . . 1688.4 Le chiffrement ou cryptage des systèmes

de fichiers de Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1688.5 Politique d’audit des accès aux comptes et aux fichiers . . . . . 169



Chapitre 4Mobilité et sécurité

1. Qu’appelle-t-on terminal mobile ou nomade ?. . . . . . . . . . . . . . . . . 171

2. Les terminaux nomades : problèmes spécifiques . . . . . . . . . . . . . . . 1732.1 L'origine de ces problèmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1732.2 Les principales menaces et vulnérabilités . . . . . . . . . . . . . . . . . 174

2.2.1 Les menaces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1742.2.2 Les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1782.2.3 Le BYOD (Bring Your Own Device) . . . . . . . . . . . . . . . . 179

2.3 Les impacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1812.4 Principes de réponse aux menaces . . . . . . . . . . . . . . . . . . . . . . . 181

3. Les bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1823.1 Conseils pour l'utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182

3.1.1 La protection physique. . . . . . . . . . . . . . . . . . . . . . . . . . . 1823.1.2 La protection logique ou applicative . . . . . . . . . . . . . . . . 1833.1.3 Installation d’applications . . . . . . . . . . . . . . . . . . . . . . . . 1843.1.4 La sécurisation des fonctionnalités

et des interfaces radio (Wi-Fi, Bluetooth) . . . . . . . . . . . . 1843.1.5 La sécurité des connexions sans fil

(systèmes cellulaires, Wi-Fi). . . . . . . . . . . . . . . . . . . . . . . 1853.2 Exigences et conseils pour l’entreprise . . . . . . . . . . . . . . . . . . . 1883.3 Mise en place d'une solution de sécurité . . . . . . . . . . . . . . . . . . 1953.4 Quelques dispositifs de protection . . . . . . . . . . . . . . . . . . . . . . 205

4. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

Chapitre 5La sécurité des données

1. Les risques de perte des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

2. La sauvegarde et la restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2132.1 Concepts généraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

2.1.1 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213


2.1.2 La politique de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . 2152.1.3 La sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2162.1.4 L’archivage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2162.1.5 La restauration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

2.2 Les méthodes générales de sauvegarde . . . . . . . . . . . . . . . . . . . 2172.2.1 La sauvegarde directe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2172.2.2 La sauvegarde en environnement réseau. . . . . . . . . . . . . 217

2.3 Les types de sauvegarde les plus courants. . . . . . . . . . . . . . . . . 2182.3.1 La sauvegarde complète (Full Backup) . . . . . . . . . . . . . . 2182.3.2 La sauvegarde normale . . . . . . . . . . . . . . . . . . . . . . . . . . . 2182.3.3 La sauvegarde partielle . . . . . . . . . . . . . . . . . . . . . . . . . . . 2192.3.4 La sauvegarde définie par l'utilisateur . . . . . . . . . . . . . . . 2202.3.5 La sauvegarde à distance (electronic vaulting)

ou en ligne. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2202.3.6 La sauvegarde synthétique. . . . . . . . . . . . . . . . . . . . . . . . 2212.3.7 Comparaison des types de sauvegarde . . . . . . . . . . . . . . 2222.3.8 Avantages et inconvénients des différents types

de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2232.4 Les périphériques de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . 2242.5 Les supports de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2242.6 La gestion des supports et périphériques

dans l’application de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . 2282.6.1 Critères de choix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2282.6.2 Gestion des supports et des pools . . . . . . . . . . . . . . . . . . 2292.6.3 Cycle de vie des supports . . . . . . . . . . . . . . . . . . . . . . . . . 2322.6.4 Formatage des supports . . . . . . . . . . . . . . . . . . . . . . . . . . 2332.6.5 Prise en charge des bandes nettoyantes . . . . . . . . . . . . . 2332.6.6 Protection des données écrites sur les supports . . . . . . . 2332.6.7 Recommandations pour la gestion

des cartouches magnétiques . . . . . . . . . . . . . . . . . . . . . . 2332.7 Les copies de supports (clonage) . . . . . . . . . . . . . . . . . . . . . . . . 235



2.8 Les sauvegardes sur disque, la bibliothèque virtuelle . . . . . . . . 2362.8.1 Sauvegarde disque vers disque vers bande . . . . . . . . . . . 2362.8.2 La bibliothèque virtuelle de sauvegarde

ou VTL (Virtual Tape Library) . . . . . . . . . . . . . . . . . . . . 2392.9 L'utilisation de l'architecture SAN pour le stockage virtuel. . . 2402.10 Les clés d’une bonne sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . 2402.11 La base de données de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . 241

2.11.1Le concept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2412.11.2La sauvegarde de la base de données . . . . . . . . . . . . . . . . 243

2.12 Les notifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2432.13 Les machines virtuelles et leur stratégie de sauvegarde . . . . . . 2442.14 La gestion de la sécurité au niveau des sauvegardes . . . . . . . . . 246

2.14.1La sécurité des données stockées . . . . . . . . . . . . . . . . . . . 2462.14.2Dispositifs supplémentaires de gestion de la sécurité . . 247

2.15 Concept de snapshot ou clichés instantanés . . . . . . . . . . . . . . 248

3. La restauration des données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2513.1 Observations relatives à la restauration . . . . . . . . . . . . . . . . . . 2513.2 Les différentes options de restauration de fichiers . . . . . . . . . . 252

3.2.1 Restauration à la demande. . . . . . . . . . . . . . . . . . . . . . . . 2523.2.2 Restauration d’un système d’exploitation complet

d’un serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

4. La stratégie de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2564.1 Éléments de réflexion pour la mise en place

d’une stratégie de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . 2654.1.1 La fenêtre de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . 2664.1.2 La périodicité des sauvegardes . . . . . . . . . . . . . . . . . . . . . 2664.1.3 La durée de rétention des données copiées . . . . . . . . . . . 2674.1.4 Le type de support de copie de données . . . . . . . . . . . . . 267

4.2 Les spécifications de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . 2674.2.1 Création d'une spécification de sauvegarde . . . . . . . . . . 2674.2.2 Les calculs de besoins en stockage . . . . . . . . . . . . . . . . . . 2684.2.3 Collecte des besoins pour concevoir un système

de sauvegarde opérationnel . . . . . . . . . . . . . . . . . . . . . . . 271


5. L’archivage des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2725.1 Stratégie d'archivage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2725.2 Archivage légal et à long terme . . . . . . . . . . . . . . . . . . . . . . . . . 273

6. L’administration et la supervision des sauvegardes . . . . . . . . . . . . . 2736.1 Administration quotidienne . . . . . . . . . . . . . . . . . . . . . . . . . . . 2746.2 Vérification des sessions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2756.3 Gestion de la base de données du logiciel de sauvegarde . . . . . 275

7. Plan de reprise du serveur de sauvegarde. . . . . . . . . . . . . . . . . . . . . . 275

8. La technologie Drive Backup 11 Server . . . . . . . . . . . . . . . . . . . . . . . 281

9. Les autres produits disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282

Chapitre 6Le plan de secours informatique

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

2. La préparation aux situations de sinistre . . . . . . . . . . . . . . . . . . . . . 2842.1 Approches possibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2862.2 Rétablissement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2862.3 Sélection des objectifs prioritaires . . . . . . . . . . . . . . . . . . . . . . . 2872.4 Détermination du budget disponible . . . . . . . . . . . . . . . . . . . . 2872.5 Détermination ou analyse des risques. . . . . . . . . . . . . . . . . . . . 2872.6 Les solutions de secours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

3. Considérations techniques pour l’établissement de plans de secours . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2893.1 Postes de travail fixes et portables . . . . . . . . . . . . . . . . . . . . . . . 289

3.1.1 Considérations de précautions et bonnes pratiques. . . . 2893.1.2 Les sauvegardes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2913.1.3 Les risques particuliers des postes nomades . . . . . . . . . . 293

3.2 Les serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2933.2.1 Considérations de précautions de sécurité

et bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2943.2.2 Solutions de précaution et de secours . . . . . . . . . . . . . . . 295



3.2.3 Solutions spécifiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2963.3 Les réseaux locaux (LAN) et étendus (WAN) . . . . . . . . . . . . . 298

3.3.1 Les bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2983.3.2 Les solutions de précaution et de secours . . . . . . . . . . . . 2993.3.3 Les réseaux sans fil ou

WLAN (Wireless Local Area Networks) . . . . . . . . . . . . . 3003.3.4 Les systèmes distribués (architecture client-serveur) . . 300

4. Guide pour l’établissement d’un plan de reprise d’activité en préparation d’un sinistre . . . . . . . . . . . . . . . . . . . . . . . 3014.1 Objectifs généraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3014.2 État des lieux de l'existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

4.2.1 Éléments critiques de l’infrastructure . . . . . . . . . . . . . . . 3034.2.2 Inventaire et diagnostic de l’état de la sécurité . . . . . . . 3044.2.3 Architecture de sauvegarde . . . . . . . . . . . . . . . . . . . . . . . 3054.2.4 Équipements redondants ou de haute disponibilité . . . . 3054.2.5 Matériel et logiciels de secours . . . . . . . . . . . . . . . . . . . . 305

4.3 Analyse des besoins métier . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3054.3.1 Analyse de l'impact sur l'activité . . . . . . . . . . . . . . . . . . . 3054.3.2 Détermination des durées d'interruptions acceptables . 306

4.4 Les scénarios de risque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3074.5 Élaboration du plan de reprise d’activité. . . . . . . . . . . . . . . . . . 312

4.5.1 Optimisation de l'infrastructure existante . . . . . . . . . . . 3124.5.2 Analyse des solutions et choix globaux. . . . . . . . . . . . . . 3134.5.3 Choix du site de reprise ou de secours . . . . . . . . . . . . . . 3144.5.4 Autres solutions techniques de reprise . . . . . . . . . . . . . . 317

4.6 Mise en place des ressources . . . . . . . . . . . . . . . . . . . . . . . . . . . 3184.6.1 Évaluation des moyens. . . . . . . . . . . . . . . . . . . . . . . . . . . 3184.6.2 Solutions techniques système et réseau . . . . . . . . . . . . . 3184.6.3 Moyens techniques externes . . . . . . . . . . . . . . . . . . . . . . 3184.6.4 Contraintes liées aux fournisseurs externes . . . . . . . . . . 3194.6.5 Aspect humain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319


4.7 Élaboration des procédures . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3204.7.1 Procédures d'exploitation . . . . . . . . . . . . . . . . . . . . . . . . . 3204.7.2 Procédures de reprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3204.7.3 Documentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320

4.8 Les tests de fonctionnalités . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3224.9 La gestion du suivi du plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323

5. La virtualisation de serveurs dans la stratégie de plan de secours . . 324

6. Exemple de projet d’implémentation d’un PRA . . . . . . . . . . . . . . . . 326

7. La norme ISO/IEC 22301:2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332

8. La norme ISO/IEC 27031 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333

Chapitre 7Le Cloud Computing

1. Principes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3351.1 Les modèles ou solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3361.2 Les différents modes de déploiement . . . . . . . . . . . . . . . . . . . . 3391.3 Les avantages du Cloud Computing . . . . . . . . . . . . . . . . . . . . 3421.4 Le Cloud Computing interne à une entreprise

ou Cloud privé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343

2. Le Cloud Computing et ses risques . . . . . . . . . . . . . . . . . . . . . . . . . . 3432.1 Comprendre les risques du Cloud Computing . . . . . . . . . . . . . 3442.2 Les problématiques actuellement identifiées . . . . . . . . . . . . . . 3452.3 Les risques cachés du Cloud Computing. . . . . . . . . . . . . . . . . . 3472.4 Les menaces et vulnérabilités spécifiques . . . . . . . . . . . . . . . . . 3492.5 Les risques organisationnels liés

à l'utilisation du Cloud Computing. . . . . . . . . . . . . . . . . . . . . . 3492.5.1 Les risques généraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3492.5.2 Les risques techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . 3532.5.3 Les risques réglementaires . . . . . . . . . . . . . . . . . . . . . . . . 3582.5.4 Les risques externes au Cloud Computing . . . . . . . . . . . 359



3. Bonnes pratiques de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3603.1 Étape préliminaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3613.2 État des lieux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3623.3 Analyse des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3633.4 Conformités requises . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3643.5 Le prestataire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366

3.5.1 Le choix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3663.5.2 Vérification chez le prestataire . . . . . . . . . . . . . . . . . . . . 367

3.6 Le contrat et les niveaux de service . . . . . . . . . . . . . . . . . . . . . . 3683.7 La gestion des incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3693.8 L’accès et le chiffrement des données . . . . . . . . . . . . . . . . . . . . 3713.9 La sauvegarde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3723.10 La gestion de la continuité d'activité. . . . . . . . . . . . . . . . . . . . . 3733.11 Étape de suivi ou de maintenance . . . . . . . . . . . . . . . . . . . . . . . 3743.12 La sortie du Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . 375

4. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377

Chapitre 8Internet des objets ou Internet of Things

1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379

2. Présentation de la technologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3792.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3792.2 Les challenges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3812.3 Les domaines de l’Internet des objets . . . . . . . . . . . . . . . . . . . . 383

3. Les domaines concernés par la sécurité . . . . . . . . . . . . . . . . . . . . . . 3843.1 Les réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3843.2 Les technologies des objets communicants . . . . . . . . . . . . . . . 389


4. Prise en compte des nouvelles menaces et des nouveaux risques . . 3924.1 Menaces générales des appareils mobiles . . . . . . . . . . . . . . . . . 3924.2 Les besoins en sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3934.3 Menaces particulières pouvant affecter les réseaux WSN

(Wireless Sensor Networks). . . . . . . . . . . . . . . . . . . . . . . . . . . . 3954.4 Menaces particulières pouvant affecter les technologies . . . . 398

4.4.1 Menaces concernant plus particulièrement la technologie RFID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

4.4.2 Menaces spécifiques à la technologie NFC . . . . . . . . . . . 3984.5 Menaces impliquant les données . . . . . . . . . . . . . . . . . . . . . . . 4004.6 Les vulnérabilités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4014.7 Les autres risques spécifiques. . . . . . . . . . . . . . . . . . . . . . . . . . . 401

5. Évaluation des risques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402

6. Propositions de solutions de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . 4036.1 Bonnes pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4036.2 Recommandations de mises en place de mesures de sécurité . 410

6.2.1 La technologie WSN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4106.2.2 La technologie RFID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4116.2.3 La technologie NFC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

6.3 Stratégies globales de la sécurité d’une infrastructure . . . . . . . 413

7. Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418

Chapitre 9La sensibilisation à la sécurité dans l’entreprise

1. Objectif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

2. Le comportement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420

3. La sensibilisation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

4. La charte de bonne conduite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422



Annexe

1. Sites web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

2. Organismes relatifs à la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427

211

Chapitre 5

La sécurité des données

La sécurité des données1. Les risques de perte des données

La sauvegarde des données est essentielle pour une entreprise, quelle que soitsa taille, à partir du moment où toute information importante est stockée surl’infrastructure de son réseau.

Il n'est pas indispensable systématiquement d’imaginer le pire, mais il estnéanmoins rationnel de prendre en compte toutes les éventualités pouvantconduire à la perte partielle ou totale, temporaire ou définitive, des informa-tions de l’entreprise. Voici quelques exemples de risques susceptibles d'affecterles données d’un système d’information :

– Dysfonctionnement du réseau électrique général pouvant amener des cou-pures avec pour conséquence des corruptions de données.

– Défaut du système d’exploitation.

– Virus informatiques et logiciels malveillants.

– Dommages ou pannes du matériel (disques durs...).

– Suppression de fichiers (accidentelle ou non).

– Altération, modification ou suppression d'informations à mauvais escient.

– Vol de matériels, de logiciels ; sabotages.

– Erreurs de traitement de données.

– Catastrophes naturelles.

© E

dit

ions

EN

I -

All r

ights

rese

rved



L’éventualité de pertes de données importantes pour l’entreprise implique lanécessité d’effectuer des copies des données à l’aide de sauvegardes etd’archives pour toute l’infrastructure informatique (serveurs de production,de développement...).

Les principes généraux

Des copies de sauvegarde de toutes les données opérationnelles doivent êtreeffectuées pour permettre la reconstruction dans le cas où elles seraient dé-truites ou perdues.

L’application de sauvegarde doit être prévue pour être installée sur des ser-veurs de telle façon que les transferts de données soient le plus efficacepossible et que la bande passante du réseau ne soit pas affectée surtoutpendant les moments les plus utilisés par les applications métier de l’entre-prise.

Il est fortement recommandé de stocker les copies de sauvegarde dans un em-placement sécurisé éloigné du site où se trouvent la plupart des systèmes cri-tiques. Dans le cas d’un incident grave ou d’un sinistre affectant totalementces systèmes, cette précaution permettra de remettre en service des machineséquivalentes sur un site différent.

Les supports de sauvegarde utilisés pour les opérations de sauvegarde doiventêtre testés périodiquement pour s’assurer que les données peuvent être restau-rées dans un état correct à chaque fois que cela est nécessaire.

Les principes généraux présentés sont valables pour la plupart des logiciels etapplications de sauvegarde. Des différences peuvent exister. Chacune de cesapplications possède des spécifications relatives à l’éditeur qui les a conçus età l’environnement pour lequel il a été prévu. Chaque entreprise choisit son ap-plication de sauvegarde en fonction de son environnement et de ses décisionsstratégiques.

Dans ce chapitre, les informations présentées peuvent être différentes selonles applications et leur éditeur. Toutefois, les principes décrits sont toujoursvalables.

213La sécurité des donnéesChapitre 5

2. La sauvegarde et la restauration

2.1 Concepts généraux

Il est utile, pour commencer, de définir les concepts principaux qui seront uti-lisés dans les prochains chapitres.

2.1.1 Définitions

Le serveur de sauvegarde

Il s’agit d’un serveur équipé d’un ou de plusieurs périphériques de stockage, engénéral dédiés à cette fonction. Son rôle principal consiste à réaliser les phasesde sauvegarde, d’archivage, de restauration de données (système d’exploita-tion, fichiers, bases de données...).

Le client de sauvegarde

Le serveur est également sauvegardé par l'application de sauvegarde, il estdonc aussi client de l'application.

Les machines clientes sont aussi des serveurs, elles représentent les environne-ments à sauvegarder.

Le client comprend un ensemble de données à sauvegarder sur une machinespécifiée (serveur de fichiers, d’application...).

Plusieurs clients peuvent coexister sur une même machine physique, chaqueclient ayant ses propres attributs. Ce sont :

– Un nom : toujours le nom du serveur connu sur le réseau de l’entreprise.

– Des ensembles à sauvegarder ou save-sets : des noms de fichiers, de réper-toires ou de systèmes de fichiers.

– L’appartenance à un groupe, un planning de sauvegarde, une directive, despolitiques...

– Un alias : autre nom de la machine dans le réseau.

© E

dit

ions

EN

I -

All r

ights

rese

rved



– Nœuds de stockage : liste prioritaire des périphériques locaux ou distantsvers lesquels vont être envoyés les flux de données.

– Nœuds de stockage de clonage : liste prioritaire pour cette opération.

– Politiques de rétention des données et de recherche.

Les clients peuvent regroupés et posséder des attributs propres :

– Nom.

– Heure de démarrage.

– Type de démarrage.

– Politique de rétention des données et de recherche.

L’application de sauvegarde

C’est le logiciel installé sur le serveur de sauvegarde. Sa fonction consiste à gé-rer les opérations sur les supports, les connexions sur les clients, à signaler leserreurs rencontrées.

Les groupes d'utilisateurs et les droits d’accès

Dans l’application de sauvegarde, des groupes d'utilisateurs peuvent être crééspour les opérations de sauvegarde, de restauration ou d'archivage. Un utilisa-teur doit appartenir à un groupe avant de pouvoir se voir attribuer des droitsd'accès particuliers. En effet, sauvegarder et restaurer revient à copier des don-nées, il convient donc de limiter l'accès aux utilisateurs autorisés. Ce qui im-plique un système de sécurité relatif aux utilisateurs du type :

– Toute personne souhaitant utiliser le logiciel de sauvegarde doit être définiecomme utilisateur dans l’application.

– Seul le propriétaire de la copie peut visualiser les données qu'il a sauvegar-dées.

D’autres autorisations peuvent être définies en fonction du contexte et des be-soins des utilisateurs ou de l’environnement.

215La sécurité des donnéesChapitre 5

Le planning de sauvegarde

La périodicité est définie en fonction des besoins et des niveaux de sauvegarde,elle peut être quotidienne, hebdomadaire ou mensuelle.

Ces lignes de conduite se définissent comme étant une combinaison de pé-riodes (jour, semaine, mois, année) ou une fréquence de sauvegarde.

2.1.2 La politique de sauvegarde

Elle est définie en fonction du volume de données à copier, de la quantitéd’information à garder ou éventuellement à perdre, de l’environnement tech-nique, de la durée légale de conservation des données.

Cette politique consiste à définir :

– L’environnement du système d’information à sauvegarder (services, maté-riels, sites, utilisateurs...) et la façon dont les opérations sont réalisées.

– Le type et la quantité de données à stocker (fichiers utilisateurs ou applica-tifs, comptes de messagerie, bases de données...). Le nombre de fichiers oula taille des sauvegardes peut évoluer dans le temps avec l’ajout de nouvellesapplications ou de données.

– La fréquence/périodicité des sauvegardes.

– Les lieux et moyens de stockage des sauvegardes.

Politique de rétention des données sauvegardées

Deux types existent :

Politique de recherche : période de maintien des informations dans lesindex ou la base de données interne.

Politique de rétention : période de conservation des informations dans labandothèque ou l’ensemble de stockage des supports.

© E

dit

ions

EN

I -

All r

ights

rese

rved



2.1.3 La sauvegarde

Il s’agit de l’opération consistant à créer une copie des données sur un médiade stockage (bande magnétique, support optique, disque dur...). Cette réplica-tion d’information est stockée et conservée pour une utilisation ultérieure derestauration dans le cas où l’original serait supprimé (involontairement ouvolontairement), détruit ou endommagé.

Le logiciel qui copie les données vers un média s’appelle application de sauve-garde.

Dans la plupart des cas, la source correspond à des données enregistrées surune unité de disques, par exemple des fichiers, des répertoires, des bases dedonnées et des applications.

La destination est un support de stockage utilisant un matériel d’enregistre-ment et de lecture tel une unité de bande magnétique, un robot de sauvegarde(bandothèque), une unité de stockage composée de disques ou de supportsoptiques (DVD-ROM...), ou encore un stockage basé sur le réseau.

2.1.4 L’archivage

C’est une opération de copie identique à la sauvegarde, sauf que les donnéescopiées sont stockées et conservées pour une durée plus longue. Cette opéra-tion peut s’avérer nécessaire pour des raisons légales et/ou administratives.Elle permet aussi de conserver l’état du système d’exploitation d’un serveurjuste après une installation ou une mise à jour importante.

La destination est un support utilisant un périphérique spécifique équivalentà ceux définis pour la sauvegarde, le support WORM (Write Once/Read Many)peut être utilisé plus spécifiquement dans ce cas.

2.1.5 La restauration

Cette opération réalise la reconstruction des données originales à partir d’unecopie de sauvegarde ou d’archivage.

Ce concept regroupe la préparation et la recopie proprement dite des données,certaines actions supplémentaires pour rendre les données exploitables sontparfois nécessaires.

Documents

La sécurité informatique dans la petite entreprise Jean ...multimedia.fnac.com/multimedia/editorial/pdf/9782746098756.pdf · gérées à l’aide de pratiques simples et d’un