Scurité informatique d'une entreprise

Village numérique Jur@TIC Atelier Dormir tranquille

ATELIER JUR@TICDormir tranquille à l’heure

d’Internet !


Sommaire

• Qu’est-ce qu’un Atelier Jur@TIC »

• Généralité sur la sécurité,

• Sécurité et Internet,

• Dormir tranquille en externalisant des tâches informatiques !

• Externaliser les ressources matériels et données,

• Dormir tranquille avec ses données !


Qu’est-ce qu’un « Atelier Jur@TIC »

Présentation d’un grand thème de façon globale :– Avantages / inconvénients

– Limites,

– Quand mettre en place une solution,

– Comment préparer une entreprise.


Généralités sur la sécurité


Pourquoi se protéger ?• Dans un contexte de compétitivité économique mondial:

- il faut savoir affronter ses concurrents- surmonter des situations de crises (intentionnel ou non)- des menaces (perte de données, destruction de données,

intrusion, crédibilité, …).

• Il faut évaluer les risques, réduire sa vulnérabilité,sécuriser son entreprise et son informatique.

• Il faut assurer la pérennité des données.

• Il faut définir des processus de redémarrage après un sinistre (et les tester !).


Quoi protéger ?

L’environnement physique de l’entreprise, les donnéesou informations du savoir-faire de l’entreprise :

• Le bureau étude• La fabrication• Les achats• Le commercial

Evaluer les données qui sont importantes à protéger.Sécurisation physique des ordinateurs en déplacement =

sensibiliser les salariés qui se déplacent avec des ordinateurs (salon, déplacement occasionnel, train, taxis, …).


De qui se protéger ?

Exemple d’incarnation potentiel du risque

La concurrence,l’ignorance,

les forces majeures, les vandales, les pirates.

stagiaire, intérimaire, personnel malveillant,

personnel de nettoyage, visiteur.


Quoi protéger ?L’environnement physique de l’entreprise, les donnéesou informations du savoir-faire de l’entreprise :

Accès aux locaux

En interne (système de fichiers,supports amovibles)

• Liens avec l’extérieur(EDI, site internet marchand)(sécurisation des échanges et dusystème informatique)

• Connexion nomade(force de vente)(sécurisation des échanges)

• Le bureau étude

• La fabrication

• Les achats

• Le commercial


Comment protéger l’entreprise ?L’environnement physique de l’entreprise, les donnéesou informations du savoir-faire de l’entreprise :

• Intrusion physique (caméra desurveillance, système d’alarme, onduleur)

• Identification des personnes et définitiondes zones d’accès (bureaux fermés,ordinateurs éteints, accès aux machinesréglementés, impression maitrisée)

• En interne pour le personnelformation du personnel, gestion deprofils, droits d’accès, charteinformatique, bonnes pratiques

• Pour les ordinateursuniformiser le parc informatique (matériel etlogiciel), centraliser les outils de sécurité(pare-feu, antivirus)

• Liens avec l’extérieur(VPN, Cryptage)

• Liens avec l’extérieur (EDI, site internet marchand)(sécurisation des échanges et du système informatique)

• Connexion nomade (force de vente) (Sécurisation des échanges)

• Le bureau étude

• La fabrication

• Les achats

• Le commercial


Sécurité et Internet


Sécurité et Internet

Un réseau public

où circulent des usagers parfois malveillants dont il convient de se protéger


Filtrer les échangesavec Internet

• par un firewall

• par un proxy


Interconnexion de réseaux privés et distants

réseaux privés virtuels (VPN Virtual Private Network)


Sécurité et courrier électronique• 2 solutions pour gérer ses boites aux lettres

1. Courrier chez le fournisseur d'accès interneGestion de bons mots de passe,

2. Serveur de messagerie interneNe pas être relais ouvert

• Les bonnes pratiques• Respect des volumes,• Maîtrise des listes de diffusion• Vérifier la nature des pièces jointes• Etre vigilant aux usurpations d’adresse• Attention au « social Engineering »


Le spam (pourriel)• Envoi massif et parfois répété de courriers électroniques non sollicités à des

personnes avec lesquelles l’expéditeur n’a jamais eu de contact au préalable, et dont il a capté l’adresse électronique façon irrégulière.

• Messages peu coûteux à l’envoi mais coûteux pour le destinataire.

• Le spam en quelques chiffres– 100% : croissance du coût du spam chaque année

– 42 milliards de $ : coût global pour les entreprises au niveau mondial en 2004, 200 milliards de $ en 2007

– 600 à 1000 $ : coût par an et par salarié

– Plus des 3/4 du volume total et mondial d’e-mails envoyés

– 85% des spams reçus en France sont rédigés en langue anglaise (7% en français)

– 60% proviennent des Etats-Unis


Se prémunir contre le spam• Ne rien acheter par l’intermédiaire de publicité faite par

un spam (des études indiquent que 29% des utilisateurs le font).

• Ne jamais répondre à un spam.• Ne pas mettre d’adresses électroniques sur les sites

webs mais les encoder par un script ou dans une image.• Etre prudent dans le remplissage de formulaires

demandant des adresses électroniques; on peut parfois utiliser des adresses « jetables ».

• Protection au niveau du client de messagerie (gestion des "indésirables")


Protection contre le spamsur les serveurs de messageries

• Protection délicate: la frontière entre un courriel et un pourriel n’est pas toujours franche et il ne faut pas rejeter des courriers réels.

• Gestion de listes blanches

• Gestion de listes noires:– Manuellement

– Par utilisation de bases de données de relais ouverts


Les dangers du surf sur le WEB• Le phishing (hameçonnage)

Un site WEB est cloné par un pirate pour tromper un internaute et lui extorquer des informations confidentielles

L’adresse n’est pas l’adresse réelle du site WEB, mais l’adresse du serveur sur lequel a été installé le clone.

Les victimes sont contactées au hasard, mais statistiquement un utilisateur peut avoir l'impression de recevoir un courrier d'un site qui lui est familier (banque,…).


Exemple de phishing


Les virus• Portion de code inoffensive ou destructrice

capable de se reproduire et de se propager.• Différents types de virus:

– Virus boot– Virus dissimulé dans les exécutables– Macro virus

• Différentes contaminations possibles:– Échange de disquettes, de clés USB– Pièces jointes au courrier électronique– Exécutables récupérés sur Internet


Les chevaux de Troie• Très répandus• Permettent de prendre

le contrôle à distanced’un ordinateur

• Conçus par des pirates oudes groupes mafieux pourservir de based’attaque pour commettred’autres méfaits(dénis de service, spam)

• Présents dans de nombreuxlogiciels piratés sur les réseaux peer-to-peer


Les spywares• Un spyware ("espiogiciel") est un logiciel qui collecte d

informations d'une machine et les envoie à l'insu de l'utilisateur sans son consentement.

• 80% des PC étudiés contenaient au moins 1 spyware

• Un PC héberge en moyenne 93 spywares.

• 90% des personnes interrogées n'ont jamais entendparler de spyware.

• "adware" : logiciel d'affichage de publicité

• "malware" : "pourriciel", logiciels hostiles


Techniques d'infectionet actions des spywares

• Installation « volontaire » (par acceptation) en même temps qu'un logiciel légitime (KaZaA, codec DivX, barre d’outils, économiseur d’écran)

• Comportement anormal de la machine:– Fenêtres "popup" intempestives.– Page d'accueil du navigateur modifiée.– Apparitions d'icônes sur le bureau.– Connexions à Internet intempestives, trafic réseau anormal.

• Beaucoup de programmes existent pour éliminer les spywares.


Conseils• Ne pas consulter des sites douteux.• Ne pas ouvrir les courriers électroniques

suspects• Sensibiliser les utilisateurs sur les risques liés à

l'installation de logiciels (barres d’outils, économiseurs d’écran, codec DivX, …)

• Inciter les utilisateurs à signaler l'infection de leur machine par un spyware ou un virus

• Utiliser des outils de protections (antivirus, antispyware)

• Limiter la diffusion de son adresse électronique


Dormir tranquille en externalisant des tâches

informatiques !

Village numérique Jur@TIC Atelier externalisation

Externalisation : Pour qui ?

• Pour les sociétés qui ne souhaitent pas employer un informaticien et qui ont des besoins mesurés,

• Pour les sociétés ayant des ressources en interne ne répondant pas à certains besoins spécifiques.


Externalisation : Quels type de contrats ?

• A la tâche,

• Au temps passé,

• Au forfait,

• En temps partagé,

• Intérimaire.


Externalisation : Pour quoi faire ?

• Développement d'applications spécifiques,

• Installation, mise à jour, maintenance de matériel et logiciel,

• Formation,

• Audit, conseil,

• Traitement et exploitation de données,

• Sécurisation de données,

• Sauvegarde et archivage de données,

• Mailing,

• Communication,

• Prospection,

• …


Comment le faire ? (sous quels formes)

• Bien définir le projet : tâches, temps, délai de livraison, objectifs, livrable, droit d'auteur, rôle de chacun, budget

• Trouver le prestataire adéquat,

• Définir un référent dans l'entreprise

• Accompagner en interne le projet (fournir les éléments nécessaires dans les temps)


Externaliser les ressources matériels et données


Le serveur dédié

• Dédié ?• L'intégralité du serveur, de ses ressources vous sont

réservées. Vous l'utilisez comme bon vous semble.

• Dans ce cas, pourquoi pas dans mes locaux ?– Financement– Disponibilité– Infrastructure spécialisée (datacenter)– Services additionnels


Technologie

• Autopsie d'une application • Deux solutions d'internalisation :

• ASP :Application service providing• Architecture N tiers


Trois niveaux

• Des applications sur chaque ordinateur,• Un serveur dans l’entreprise qui

centralise les applications,• Un serveur externalisé qui propose les

applications


Avantages inconvénients• Objectifs : minimiser le coût de la mise en place et de

la gestion des logiciels et des données • Bénéfices : limiter le nombre de licences, limiter ou

abandonner les serveurs dans l’entreprise• Même enjeu que la délocalisation de taches dans une

entreprise,• Évolution des applications et mise à jour plus faciles à

gérer (centralisation de l’informatique sur un point),• Besoins de compétences informatiques moindre


Risques pour une entreprise

• Les conditions du contrat qui lie l’entreprise à son fournisseur

• La propriété des données


Pré-requis et financement de solutions

• Pré-requis :– Organisation interne– Logiciel– Technique– Impressions

• Limites : – Applications – Sensibilité et propriété– Accès à l'internet

• Financement de solution– Passage d'une vision d'investissement à une location de service à la demande – Maitrise des couts et maintenance de la trésorerie– Amélioration du rapport qualité prix


Dormir tranquille avec ses données !


La sauvegarde externalisée

• Systématisation de la sauvegarde (absence d'intervention humaine)

• Garantie de disponibilité et de restauration

• Tarifs similaires à de la sauvegarde sur bande

• Automatiquement un jeu en dehors des locaux

• Fiabilité par rapport à des supports amovibles (CD/DVD, disquettes, clés USB)

• Valable pour de petits volumes (vous connaissez une solution pour 2 Go ?)


• Les risques d'un perte de données pour mon entreprise

• Quels sont les risques pour mon entreprise ?• Combien de temps puis-je me passer d'informatique ?• Combien de temps et/ou d'argent suis-je prêt à sacrifier pour récupérer

mes données ?

• Identifier les données

• Fréquence des sauvegardes• Quelles données ? (états des systèmes d'exploitation, programmes des

commandes numériques, …)• Quelle volume ?• Temps de rétablissement admissible

=> Moyens de prévention en fonction de l'enjeu

Comment sécuriser, sauvegarder et archiver ses données ?


Disquette CD/DVDBande

magnétique

Sauvegarde

à distanceClé USB

Fiabilité du support -- - ++ +++ ++

Solidité du support -- + + +++ +

Rapidité des restaurations --- ++ ++ + +++

Externalisation des données * * * +++ *

Facilité de restauration ++ ++ + +++ ++

Capacité de sauvegarde --- - ++ +++ +

Coût d'utilisation ++ ++ - ++ +

Coût d'investissement ++ ++ -- +++ ++

Confidentialité des données -- -- + ++ --

* Dépend de l'utilisation qui est faite du support



• En terme de coût : Globalement identique sauf que le lecteur de bande est un investissement et la sauvegarde externalisée est une location

• En terme de sécurité : L'externalisation est sécurisée par cryptage (côté client et transport) alors que la sécurisation de la bande dépend de sontransport et de son Stockage

• En terme de restauration : L'externalisation dépend de la 'taille du tuyau' (Intérêt d'un prestataire local) tandis que la bande est toujoursdisponible.

• En terme de capacité : Si le volume dépasse la capacité, vous devrez remplacer le lecteur et les bandes. Souplesse d'une solution externalisée.

• Facteur humain : La bande doit être changée tous les jours (sauf robot), sortie des locaux, remplacée tous les 6 mois et testée régulièrement.Et si la personne qui s'en occupe est malade ou en congés ?



• PRA = Plan de reprise d'activité

• Evaluation des scénarios catastrophes• Mise en place des procédures pour y répondre

• L'entreprise peut faire son auto-évaluation mais un oeil extérieur est toujours souhaitable.

• Quelques exemples :– Mon ordinateur prend la foudre– Dégâts des eaux– Départ d'incendie dans mon local serveurs



• La sécurité est l'affaire de tous

• (In)formation des collaborateurs sur le fonctionnement du S.I. =responsabilisation

• La charte informatique, le recours légal au delà de la technique• Et mes fournisseurs et sous-traitants ?

• C'est un jeu de matriochkas (tout s'imbrique)• Sécurité depuis l'extérieur, depuis l'intérieur, personnel, données,

tout ne fait qu'un !



« Atelier Jur@TIC Sécurité »réalisé par :

• Jean-Claude Louis, société Netmind

• Xavier Richard, société Arilog

• Julien Escario, société Azylog

Documents

Scurité informatique d'une entreprise