Sensibilisation à la Sécurité des Systèmes d’Information … · 2013. 6. 20. · Wifi 5 Sensibilisation à la SSI Les points d'accès aux réseaux sans fil s'installent en complément

Wifi 1 Sensibilisation à la SSI

Université de Picardie Jules Verne Groupe de travail « Sensibilisation à la SSI » : 33, rue Saint Leu Jérôme Nisota 80039 AMIENS Cedex Amine Adjar Hamza Lahrizi Michel-Pierre Islande Flavie Yimgaing

Section : Université de Picardie Jules Verne Master « Sciences et Technologies de l’Information et de la Communication » Spécialité « Ingénierie des Systèmes et Réseaux Informatiques » Unité d’enseignement : Projet thématique Responsable du projet : Madame Florence Levé

Année 2012 - 2013

Sensibilisation à la Sécurité des Systèmes d’Information : Précaution pour l’utilisation des réseaux Wifi


Table des matières 1. Introduction .................................................................................................... 3

2. Public visé ...................................................................................................... 3

A. Contexte de travail ....................................................................................... 3

B. Etude des risques ......................................................................................... 4

3. Etat de l’art .................................................................................................... 4

4. Sensibilisation ................................................................................................. 6

A. Evénements face à face ................................................................................ 6

B. Affiches et bannières ...................................................................................10

C. E-mails ......................................................................................................11

D. E-learning ..................................................................................................12

5. Evaluation .....................................................................................................13

6. Références ....................................................................................................15


1. INTRODUCTION

Les réseaux sans fil sont aujourd’hui en pleine expansion et le nombre de projets de déploiement révèle l’avenir prometteur de cette technologie. Mais de nombreuses failles de sécurité liées à cette technologie obligent l’utilisation de ce type d’infrastructure uniquement dans le cadre d’une politique de sécurité précise et adaptée.

Les politiques de sécurité informatique des entreprises s’appuient généralement sur des techniques de protection et des plans d’urgence mais négligent souvent un aspect : le personnel. Si celui-ci n’est pas sensibilisé au problème, toute stratégie de sécurité informatique est vouée à l’échec.

Le présent document présente d'une part une analyse des différents types de risques auxquels les réseaux Wi-Fi sont exposés, d'autre part une série de conseils permettant à leurs administrateurs et usagers de mieux contrôler et si possible réduire les risques. Nous proposons une méthodologie pour la mise en place une sensibilisation des utilisateurs concernant les risques du wifi et les précautions à prendre pour son utilisation.

2. PUBLIC VISE

Cette sensibilisation peut s’adresser à chaque personne au sein de l’Université souhaitant être sensibilisé aux routines de bases de la sécurité informatique. A noter que nous recommandons les personnes n’ayant pas eu de formation initiale en informatique (Ex. : Secrétaires des formations, professeurs non informaticiens, personnel non informatique, etc.) car c’est un public non sensible à la sécurité informatique. Nous avons volontairement visé cet aspect de la sécurité informatique car c’est une base importante à faire passer aux utilisateurs du système d’information.

A. CONTEXTE DE TRAVAIL

Avec la multiplication des outils nomades (smartphone, tablette, notebook), La grande majorité du personnel visé utilise ces outils pour se connecter au réseau wifi, ces accès sont très pratiques mais présentent d’importants risques de sécurité. En effet, il assez facile pour une personne connectée à un accès Wifi d’écouter les différentes communications des personnes qui y sont également connectées. E-mails, pièces jointes, sites visités et accès aux réseaux peuvent être interceptés par une personne mal intentionnée. L’université doit mettre en œuvre autant que possible des actions de sensibilisation pour préserver ses salariés de ces risques potentiels du WIFI.


B. ETUDE DES RISQUES

Le réseau Wifi offre de nombreux avantages mais présente aussi et surtout de gros problèmes de sécurité.

Les risques liés à l’utilisation du réseau wifi :

Vol d’informations (remise en cause de la confidentialité des informations professionnelles, perte de savoir-faire, divulgation d’informations commerciales).

Téléchargement illégal à votre insu (loi HADOPI, obligation légale de protéger votre système d’information).

Grand banditisme (menaces, attaques par « rebond »). Perte d’activité (virus, dégradations de fichiers, saturation de liaisons). Les équipements (routeur ou borne wifi) peuvent aussi être bombardés par des

connexions sauvages. Ce qui peut provoquer leur blocage ou leur panne.

Ces risques peuvent avoir de lourdes conséquences sur l’université.

3. ETAT DE L’ART

Les réseaux sans fil dite Wi-Fi ("Wireless Fidelity"), rencontrent aujourd’hui un succès important car ils permettent des moyens de transmissions sans contrainte d'immobilité liée aux câblages et aux prises (hormis l'alimentation).

Cette technologie, est uniquement axée sur les avantages qu’elle procure :

Facilité et rapidité d’installation Economies de câblage Mobilité, accès partagé à des services de haut débit Internet.

Toutefois, les coûts induits par la gestion des risques associés sont bien souvent omis.

Bien que les normes de cette technologie présentent certaines options de sécurité, les protections des réseaux Wi-Fi restent faibles, même vis-à-vis d’attaques simples. Il est assez facile d'écouter les messages et même de s'introduire sur de tels réseaux, à l’insu des utilisateurs et de l’opérateur, pour y accomplir des actes malveillants sans laisser de trace. La disponibilité publique, la gratuité et la facilité de mise en œuvre des outils de localisation, d’interception passive et d’agression confirment l'importance de cette menace.

Malgré des problèmes de sécurité intrinsèques, pas assez fiables, les réseaux sans fil continuent et continueront probablement à se développer et est de plus en plus adopté dans le milieu professionnel. La flexibilité de ces réseaux semble séduire un grand nombre d'entreprises.


Les points d'accès aux réseaux sans fil s'installent en complément du système d'information de l'entreprise et garantissent la mobilité au sein de ses locaux. En effet, les salariés peuvent se connecter à partir des salles de réunion, des halls d'entrée ou encore de la cafétéria, etc. Ces nouveaux dispositifs fournissent une fluidité d'accès aux informations à moindre coût.

Analyse de la situation où connexion WiFi rime avec RISQUES

Si on fait une analyse de la connexion WIFI, il est plus facile pour les pirates d'accéder à des renseignements personnels par le biais des réseaux wifi souvent non sécurisés. Tous les utilisateurs d'appareils mobiles ne sont pas des férus d'informatique, ne se sentent pas concernés, mais utilisent pour leur travail ou pour leurs loisirs ces outils. Les gens sont simplement inconscients, font confiance à cette technologie mais ils ne savent rien des risques de piratage WIFI.

Différents types de piratage Wifi

Le sniffing ou analyseur de paquets. Le sidejacking ou le détournement d'une session web le Evil Twin ou Honeypot une méthode de phishing à partir d'un réseau Wi-Fi.

Sniffing

Il s'agit d'un acteur malveillant à l'aide de logiciels disponibles pour intercepter les données transmises, ou, votre appareil.

En utilisant la connexion Wi-Fi gratuite à un compte de messagerie qui ne crypte vos identifiants de connexion un acteur malveillant, à l'aide de logiciels libres peut capturer les informations que vous soumettez. Il est en mesure d'accéder à vos informations de compte et éventuellement utiliser les mêmes informations d'identification de connexion pour accéder aux autres comptes que vous utilisés comme les services bancaires en ligne ou d'achats en ligne.

Sidejacking

Cette attaque consiste à renifler des paquets de données pour voler les cookies de session et de détourner une session utilisateur. Ces cookies peuvent contenir des informations de connexion non chiffrée, même si le site est sécurisé.

Evil Twin/Honeypot

Il s'agit d'un réseau Wi-Fi de voyous qui semble être un réseau légitime. Sans le savoir, les utilisateurs joindre au réseau de voyous, l'attaquant peut lancer une attaque man-in-the-middle, intercepter toutes les données entre vous et le réseau. Exemple de scénario : Vous êtes à l'aéroport, en attendant votre vol. Vous profitez de la Wi-Fi gratuit, mais il y a plusieurs réseaux à se joindre. Vous choisissez celui avec la meilleure connexion, pas au courant que c'est un réseau de Wi-Fi de voyous créé par un pirate. Une fois que vous êtes connecté, le pirate vole vos données sensibles.


Le Wi-Fi est donc est très pratique aujourd'hui, mais on sent bien la nécessité d’un travail d'information et de sensibilisation auprès des utilisateurs qui n'ont pas conscience des risques auxquels ils s'exposent.

4. SENSIBILISATION

Face à tous ces risques concernant l'utilisation du réseau sans fil, il est donc important de former et de sensibiliser les utilisateurs en mettant en place des campagnes de sensibilisation régulières. Sans une communication efficace des risques, donc des menaces, vulnérabilités et impacts ainsi que des mesures de sécurité mises en place, chaque utilisateur devient un danger potentiel pour les données de l'entreprise.

La formation et la sensibilisation ont pour but de faire adopter aux employés de l'organisation le comportement adéquat. Cette campagne vise donc à sensibiliser les utilisateurs aux bonnes pratiques à adopter lorsqu’ils utilisent les réseaux sans fil.

La volonté de sensibiliser les utilisateurs doit se faire par un plan de sensibilisation continu, sur plusieurs années. Nous avons donc adopté quatre méthodes pour cette sensibilisation :

Evènements face-à-face : Réunions, présentations, ateliers pratiques. Affichage : Affiches, bannières, brochures. E-mails : Campagne d’e-mails. Via ordinateur : Quizz, jeux sérieux (e-learning).

A. EVENEMENTS FACE A FACE

C'est une sensibilisation sous forme de réunions, présentations ou même d’ateliers pratiques, elle est considérée comme la méthode la plus efficace. [4]

Quand on parle d'une réunion, c'est probable que la réponse du personnel ne soit pas positive. Le personnel pensera : « Il y a trop de réunions – Les réunions sont ennuyeuses – Les réunions sont une perte de temps - Les réunions ne servent à rien. » Il faut donc tout faire pour que les réunions puissent être un succès.

Le succès d’une réunion repose sur sa préparation, la qualité de son animation (qui réside dans l’aptitude de l’animateur à encadrer le déroulement de la réunion et à développer un climat propice à l’échange et à la construction), la pertinence de sa restitution (plan d’actions concrètes, etc.).


Comment préparer et mener une réunion efficace ?

Préparer la réunion

L’utilisation de la méthode « TOP » [10] permet de préparer méthodiquement la réunion en définissant les principaux objectifs de la réunion:

Méthode « TOP »

T : définir clairement le thème de la réunion, c’est-à-dire « De quoi allons-nous parler ? ».

O : définir l’objectif à atteindre à l’issue de la réunion, c’est-à-dire « Devons-nous trouver des solutions, présenter uniquement les problématiques, présenter des résultats ? ».

P : définir avec précision le plan, l’ordre du jour, plan de communication (supports de communication comme affichettes, signalétique, livret d'information) les points à aborder pour atteindre l’objectif.

Toutes ces informations doivent ensuite être retranscrites dans un ordre du jour présentant :

le TOP ;

la liste de participants (il est possible, et même recommandé, d’y faire figurer le rôle de chacun, la raison de sa présence, qui ne tient pas forcément compte que de sa fonction mais aussi de la valeur ajoutée qu’il pourra apporter dans la réunion) ;

les aspects matériels tels que le lieu, l’heure de la réunion, la durée, etc.

Animer la réunion

Déroulement en plusieurs phases : l’introduction, le déroulement, la conclusion. À tout moment de la réunion les participants doivent pouvoir se situer dans ces étapes. C’est pourquoi le thème, l’objectif, le plan et la durée de la réunion doivent être affichés. Chacun peut ainsi se repérer dans la chronologie de la réunion et estimer le temps restant.

L’introduction Cette étape consiste en quelques minutes (1 à 3 minutes maximum) à présenter le « TOP » et la méthodologie de travail, l’organisation de la réunion.

Le déroulement Le déroulement doit se faire selon le plan établi.


La conclusion Une bonne réunion est une réunion qui s’achève à l’heure. La conclusion consiste, presque aussi rapidement que l’introduction, à s’assurer que les objectifs de la réunion ont été atteints.

L’après-réunion : le compte rendu

À l’issue de la réunion, une synthèse écrite soit par l’animateur, soit par le secrétaire désigné doit être diffusée à l’ensemble des participants. Ce compte rendu résumera :

Les objectifs de la réunion ;

La liste des participants ;

Le ou les sujets abordés ;

Les points à aborder à la prochaine réunion.

Pour sensibiliser les utilisateurs du wifi, on peut donc faire deux séances :

Il faut donc s'assurer que :

des ordres du jour existent et sont respectés ; des objectifs sont définis ; l’animateur et les participants sont suffisamment préparés ; les temps de parole sont respectés et équilibrés ; les fréquences de réunion ne sont pas trop soutenues ; les durées sont raisonnables (pas plus de 1 heure par réunion) ;

Séance 1 : Contenu de la réunion :

L’introduction Cette étape consiste en quelques minutes :

o Présentation de l’intervenant (ou bien les intervenants) Pourquoi on doit faire cette sensibilisation ?

Le déroulement o Faits marquants o Sensibiliser le public sur le danger auquel ils peuvent s’affronter en

utilisant le wifi o Règles à respecter o Questions


La conclusion

Séance 2 Contenu de la réunion :

L’introduction Rappel de la réunion précédente pour remettre le public à jour

Déroulement o S'assurer que les utilisateurs ont compris le risque du wifi et les

précautions à prendre

Conclusion

Sujets qui peuvent être abordés aux réunions

Informations sur le wifi et les risques connus.

Ne pas se connecter à un réseau WiFi non crypté, même en cas d’urgence.

Ne pas communiquer les mots de passe wifi, paramètres de connexion ou clés de cryptage à des amis.

Utilisation de wifi lors de leur déplacement.

N'utilisez jamais une connexion réseau inter-ordinateur (computer-to-computer) Toujours vérifier la description du réseau sur lequel on décide de se connecter Utiliser le protocole https pour accéder au courriel

Ne pas créer de réseau ad hoc sans l’accord préalable de la direction informatique. Au cas où c’est autorisé, utiliser un protocole de cryptage (wpa, ect)


B. AFFICHES ET BANNIERES

Des campagnes d'affiches sont des campagnes de sensibilisation qui peuvent rappeler des consignes, respectivement attirer l'attention des employés à des problématiques spécifiques. Elles peuvent aussi être organisées en formes de "teaser" et précéder une campagne de sensibilisation réalisée en forme de présentation.

Etant donné la connaissance des utilisateurs sur le sujet on peut maintenant afficher ces affiches qui suivent dans des zones sensibles (photocopieurs, couloirs, écrans de veilles, écrans de veille, tapis de souris). La distribution de fournitures de bureau sur lesquelles sont inscrits des rappels en matière de sécurité.

Evitez les réseaux WiFi non cryptés lors de vos déplacements professionnels même en cas d’urgence. Lors d'une connexion en mode "portail captif" : HTTPS, SMTPS, POPS, IMAPS, SSH, VPN IPsec sont autorisés.

[11]

Ordinateur portable, les téléphones cellulaires :

Ces équipements exposent à des vulnérabilités diverses car ils contiennent de nombreuses informations confidentielles (fichiers sensibles, carnets d'adresses, agenda, SMS, courriels, etc...).


Surtout ne pas utiliser le réseau wifi pour les accès aux données confidentielles de l’entreprise. [12]

C. E-MAILS

D’après une étude réalisée par SOLUCOM un cabinet de conseil en sécurité de système d'information auprès de 25 grandes entreprises françaises, l’e-mail est le vecteur de sensibilisation le plus utilisé. « Cette technique est largement plébiscitée par 78% des entreprises du panel étudié. Facile à déployer, peu coûteux, il n’est néanmoins pas suffisant pour garantir l’efficacité d’une campagne de sensibilisation à la sécurité informatique mais peut contribuer à la sensibilisation. » [6]

Donc le personnel ciblé de l’UPJV peut être régulièrement sensibilisé grâce à l’envoi d’e-mails d’information réguliers leur rappelant les bonnes pratiques au quotidien.

Si on procède à un envoi par email, il est important de ne toucher que les personnes pour lesquelles le message a du sens et que l'information accompagnant l’envoi soit la plus personnalisée possible. Gardez à l'esprit qu'un mail est vite envoyé, mais également vite effacé.

Ce n'est pas parce que vous avez diffusé une information par mail ou par un affichage que vous avez systématiquement sensibilisé vos interlocuteurs. Il faudra peut‐être recourir à plusieurs vecteurs de diffusion pour s'assurer que le message a été bien compris et que la sensibilisation porte réellement ses fruits.

Exemple d’email qui peut être envoyé aux utilisateurs concernant le wifi :

Soyez vigilant lors de vos connexions WIFI. Pour cela :

Evitez les réseaux WiFi non cryptés pendant vos déplacements. Ne pas se connecter à un réseau WiFi non crypté, même en cas d’urgence. Ne pas communiquer les mots de passe wifi, paramètres de connexion ou clés de

cryptage à des amis.


D. E-LEARNING

Le e-learning désigne l'ensemble des solutions et moyens permettant l'apprentissage par des moyens électroniques, il se fait donc via ordinateur, sérious games et quizz.

Souvent méconnus, les serious games sont d’efficaces moyens d'apprentissage. «Ce sont des jeux vidéo à but pédagogique, mélange entre jeu et e-learning pour répondre à des problématiques d’entreprise tout à fait concrètes. Il y a une vérification des connaissances au long et en fin de jeu, un quizz ou des épreuves à réussir si l’on veut continuer à avancer. Les Serious Games apportent des réponses plus évoluées et satisfaisantes que les méthodes traditionnelles de formation. Pour les prestataires, le serious game permet premièrement, de sensibiliser facilement un public grâce aux interfaces ludiques. L’important c’est de susciter l’intérêt grâce à un graphisme attractif. Animations vidéo, quiz sous forme de jeu flash, scénette, applications d’e-learning aux graphismes soignés, ils visent tous à éveiller la curiosité des utilisateurs.

De nombreux applications peuvent sensibiliser à la sécurité informatique notamment une application appelée Secureman (http://www.secureman.com/ ) qui est une solution d'e-learning.

basée sur le principe du code de la route. Ses interfaces intègres différentes onglets donnant accès à diverses rubriques dont des tests classés par catégories, des supports de formation ou des statistiques.

Avec cette application on peut apprendre en s'amusant avec des quiz, des animations et des anecdotes.

Cette application peut être installée directement sur des serveurs afin que des utilisateurs puissent accéder, selon ses disponibilités, à la formation en ligne basée sur la sensibilisation.

http://www.secureman.com/


Image de la page de connexion d’utilisateur.

5. EVALUATION

Quand viendra le temps d’évaluer l’efficacité de la sensibilisation, une simple déclaration orale ou écrite ne permet pas de valider un réel engagement. Dans la mesure du possible, on peut vérifier que les messages sont bien passés en relevant les changements de comportement.

Des quizz peuvent être mis en place avant et après les opérations de sensibilisation et de formation. « Ce type de démarche présente l'avantage de pouvoir en mesurer rapidement l'efficacité », explique un RSSI de Cyber Networks dans le journal du net. [14]

C’est donc une activité incontournable qui, bien préparée, est constructive pour le public visé et rentable pour l’entreprise. Le quiz est donc un jeu qui consiste en un questionnaire permettant de tester des connaissances générales ou spécifiques ou des compétences. Il peut se présenter sous formes de questionnaire à choix multiples ou de questionnaire simple, mais la différence majeure avec un autre test de connaissances ou de personnalité est qu'on attend du participant une réponse non développée d'un ou deux mots.


Il existe plusieurs logiciels de créations de quiz qui peuvent aider les organisateurs à réaliser leurs tests de façon très rapide pour évaluer régulièrement le public visé sur les thèmes abordés tels que : 360learning [7], QuizXpress [6].

Exemple de quizz réalisé avec QuizzXpress


Toutefois, quelle que soit les solutions retenues, il ne faut pas oublier que toute formation finit tôt ou tard par s'éroder. De plus, les méthodologies d'attaque et les technologies évoluent constamment. « La sensibilisation doit être nourrie, c'est un processus continu. » [8]

6. REFERENCES

[1] « CLUSIF » Club de la Sécurité de l’Information Français. Menaces informatiques et pratiques de la sécurité en France (2012). [2] Marion Couturier - Revue online de SOLUCOM, SOLUCOMINSIGHT : Sensibilisation à la sécurité de l’information : où en sont les entreprises (2012). [6] quizxpress - logiciel de création de Quiz. [7] 360learning - Logiciel de sensibilisation [8]Mauro Israel - Article du JDNET : Sensibilisation des utilisateurs à la sécurité informatique (2011) [9] Pierrick Aubert - Watch IT : Wi-Fi public, risques et sécurité (2012).

http://www.zdnet.fr/blogs/watch-it


[10] Jérémy CICERO – qualiblog : les clés d’une reunion efficace (2012) [11] Richard “Zippy” Grigonis - Internet Telephony Magazine: Enterprise WiFi Security. [12] pirate wifi dans proud-magazine-berlin. [14] Christophe AUFFRAY, JDN Solutions : actions pour sensibiliser les utilisateur.

Documents

Sensibilisation à la Sécurité des Systèmes d’Information … · 2013. 6. 20. · Wifi 5 Sensibilisation à la SSI Les points d'accès aux réseaux sans fil s'installent en complément