Village numérique Jur@TIC Atelier Dormir tranquille
ATELIER JUR@TICDormir tranquille à l’heure
d’Internet !
Village numérique Jur@TIC Atelier Dormir tranquille
Sommaire
• Qu’est-ce qu’un Atelier Jur@TIC »
• Généralité sur la sécurité,
• Sécurité et Internet,
• Dormir tranquille en externalisant des tâches informatiques !
• Externaliser les ressources matériels et données,
• Dormir tranquille avec ses données !
Village numérique Jur@TIC Atelier Dormir tranquille
Qu’est-ce qu’un « Atelier Jur@TIC »
Présentation d’un grand thème de façon globale :– Avantages / inconvénients
– Limites,
– Quand mettre en place une solution,
– Comment préparer une entreprise.
Village numérique Jur@TIC Atelier Dormir tranquille
Généralités sur la sécurité
Village numérique Jur@TIC Atelier Dormir tranquille
Pourquoi se protéger ?• Dans un contexte de compétitivité économique mondial:
- il faut savoir affronter ses concurrents- surmonter des situations de crises (intentionnel ou non)- des menaces (perte de données, destruction de données,
intrusion, crédibilité, …).
• Il faut évaluer les risques, réduire sa vulnérabilité,sécuriser son entreprise et son informatique.
• Il faut assurer la pérennité des données.
• Il faut définir des processus de redémarrage après un sinistre (et les tester !).
Village numérique Jur@TIC Atelier Dormir tranquille
Quoi protéger ?
L’environnement physique de l’entreprise, les donnéesou informations du savoir-faire de l’entreprise :
• Le bureau étude• La fabrication• Les achats• Le commercial
Evaluer les données qui sont importantes à protéger.Sécurisation physique des ordinateurs en déplacement =
sensibiliser les salariés qui se déplacent avec des ordinateurs (salon, déplacement occasionnel, train, taxis, …).
Village numérique Jur@TIC Atelier Dormir tranquille
De qui se protéger ?
Exemple d’incarnation potentiel du risque
La concurrence,l’ignorance,
les forces majeures, les vandales, les pirates.
stagiaire, intérimaire, personnel malveillant,
personnel de nettoyage, visiteur.
Village numérique Jur@TIC Atelier Dormir tranquille
Quoi protéger ?L’environnement physique de l’entreprise, les donnéesou informations du savoir-faire de l’entreprise :
Accès aux locaux
En interne (système de fichiers,supports amovibles)
• Liens avec l’extérieur(EDI, site internet marchand)(sécurisation des échanges et dusystème informatique)
• Connexion nomade(force de vente)(sécurisation des échanges)
• Le bureau étude
• La fabrication
• Les achats
• Le commercial
Village numérique Jur@TIC Atelier Dormir tranquille
Comment protéger l’entreprise ?L’environnement physique de l’entreprise, les donnéesou informations du savoir-faire de l’entreprise :
• Intrusion physique (caméra desurveillance, système d’alarme, onduleur)
• Identification des personnes et définitiondes zones d’accès (bureaux fermés,ordinateurs éteints, accès aux machinesréglementés, impression maitrisée)
• En interne pour le personnelformation du personnel, gestion deprofils, droits d’accès, charteinformatique, bonnes pratiques
• Pour les ordinateursuniformiser le parc informatique (matériel etlogiciel), centraliser les outils de sécurité(pare-feu, antivirus)
• Liens avec l’extérieur(VPN, Cryptage)
• Liens avec l’extérieur (EDI, site internet marchand)(sécurisation des échanges et du système informatique)
• Connexion nomade (force de vente) (Sécurisation des échanges)
• Le bureau étude
• La fabrication
• Les achats
• Le commercial
Village numérique Jur@TIC Atelier Dormir tranquille
Sécurité et Internet
Village numérique Jur@TIC Atelier Dormir tranquille
Sécurité et Internet
Un réseau public
où circulent des usagers parfois malveillants dont il convient de se protéger
Village numérique Jur@TIC Atelier Dormir tranquille
Filtrer les échangesavec Internet
• par un firewall
• par un proxy
Village numérique Jur@TIC Atelier Dormir tranquille
Interconnexion de réseaux privés et distants
réseaux privés virtuels (VPN Virtual Private Network)
Village numérique Jur@TIC Atelier Dormir tranquille
Sécurité et courrier électronique• 2 solutions pour gérer ses boites aux lettres
1. Courrier chez le fournisseur d'accès interneGestion de bons mots de passe,
2. Serveur de messagerie interneNe pas être relais ouvert
• Les bonnes pratiques• Respect des volumes,• Maîtrise des listes de diffusion• Vérifier la nature des pièces jointes• Etre vigilant aux usurpations d’adresse• Attention au « social Engineering »
Village numérique Jur@TIC Atelier Dormir tranquille
Le spam (pourriel)• Envoi massif et parfois répété de courriers électroniques non sollicités à des
personnes avec lesquelles l’expéditeur n’a jamais eu de contact au préalable, et dont il a capté l’adresse électronique façon irrégulière.
• Messages peu coûteux à l’envoi mais coûteux pour le destinataire.
• Le spam en quelques chiffres– 100% : croissance du coût du spam chaque année
– 42 milliards de $ : coût global pour les entreprises au niveau mondial en 2004, 200 milliards de $ en 2007
– 600 à 1000 $ : coût par an et par salarié
– Plus des 3/4 du volume total et mondial d’e-mails envoyés
– 85% des spams reçus en France sont rédigés en langue anglaise (7% en français)
– 60% proviennent des Etats-Unis
Village numérique Jur@TIC Atelier Dormir tranquille
Se prémunir contre le spam• Ne rien acheter par l’intermédiaire de publicité faite par
un spam (des études indiquent que 29% des utilisateurs le font).
• Ne jamais répondre à un spam.• Ne pas mettre d’adresses électroniques sur les sites
webs mais les encoder par un script ou dans une image.• Etre prudent dans le remplissage de formulaires
demandant des adresses électroniques; on peut parfois utiliser des adresses « jetables ».
• Protection au niveau du client de messagerie (gestion des "indésirables")
Village numérique Jur@TIC Atelier Dormir tranquille
Protection contre le spamsur les serveurs de messageries
• Protection délicate: la frontière entre un courriel et un pourriel n’est pas toujours franche et il ne faut pas rejeter des courriers réels.
• Gestion de listes blanches
• Gestion de listes noires:– Manuellement
– Par utilisation de bases de données de relais ouverts
Village numérique Jur@TIC Atelier Dormir tranquille
Les dangers du surf sur le WEB• Le phishing (hameçonnage)
Un site WEB est cloné par un pirate pour tromper un internaute et lui extorquer des informations confidentielles
L’adresse n’est pas l’adresse réelle du site WEB, mais l’adresse du serveur sur lequel a été installé le clone.
Les victimes sont contactées au hasard, mais statistiquement un utilisateur peut avoir l'impression de recevoir un courrier d'un site qui lui est familier (banque,…).
Village numérique Jur@TIC Atelier Dormir tranquille
Exemple de phishing
Village numérique Jur@TIC Atelier Dormir tranquille
Les virus• Portion de code inoffensive ou destructrice
capable de se reproduire et de se propager.• Différents types de virus:
– Virus boot– Virus dissimulé dans les exécutables– Macro virus
• Différentes contaminations possibles:– Échange de disquettes, de clés USB– Pièces jointes au courrier électronique– Exécutables récupérés sur Internet
Village numérique Jur@TIC Atelier Dormir tranquille
Les chevaux de Troie• Très répandus• Permettent de prendre
le contrôle à distanced’un ordinateur
• Conçus par des pirates oudes groupes mafieux pourservir de based’attaque pour commettred’autres méfaits(dénis de service, spam)
• Présents dans de nombreuxlogiciels piratés sur les réseaux peer-to-peer
Village numérique Jur@TIC Atelier Dormir tranquille
Les spywares• Un spyware ("espiogiciel") est un logiciel qui collecte d
informations d'une machine et les envoie à l'insu de l'utilisateur sans son consentement.
• 80% des PC étudiés contenaient au moins 1 spyware
• Un PC héberge en moyenne 93 spywares.
• 90% des personnes interrogées n'ont jamais entendparler de spyware.
• "adware" : logiciel d'affichage de publicité
• "malware" : "pourriciel", logiciels hostiles
Village numérique Jur@TIC Atelier Dormir tranquille
Techniques d'infectionet actions des spywares
• Installation « volontaire » (par acceptation) en même temps qu'un logiciel légitime (KaZaA, codec DivX, barre d’outils, économiseur d’écran)
• Comportement anormal de la machine:– Fenêtres "popup" intempestives.– Page d'accueil du navigateur modifiée.– Apparitions d'icônes sur le bureau.– Connexions à Internet intempestives, trafic réseau anormal.
• Beaucoup de programmes existent pour éliminer les spywares.
Village numérique Jur@TIC Atelier Dormir tranquille
Conseils• Ne pas consulter des sites douteux.• Ne pas ouvrir les courriers électroniques
suspects• Sensibiliser les utilisateurs sur les risques liés à
l'installation de logiciels (barres d’outils, économiseurs d’écran, codec DivX, …)
• Inciter les utilisateurs à signaler l'infection de leur machine par un spyware ou un virus
• Utiliser des outils de protections (antivirus, antispyware)
• Limiter la diffusion de son adresse électronique
Village numérique Jur@TIC Atelier Dormir tranquille
Dormir tranquille en externalisant des tâches
informatiques !
Village numérique Jur@TIC Atelier externalisation
Externalisation : Pour qui ?
• Pour les sociétés qui ne souhaitent pas employer un informaticien et qui ont des besoins mesurés,
• Pour les sociétés ayant des ressources en interne ne répondant pas à certains besoins spécifiques.
Village numérique Jur@TIC Atelier externalisation
Externalisation : Quels type de contrats ?
• A la tâche,
• Au temps passé,
• Au forfait,
• En temps partagé,
• Intérimaire.
Village numérique Jur@TIC Atelier externalisation
Externalisation : Pour quoi faire ?
• Développement d'applications spécifiques,
• Installation, mise à jour, maintenance de matériel et logiciel,
• Formation,
• Audit, conseil,
• Traitement et exploitation de données,
• Sécurisation de données,
• Sauvegarde et archivage de données,
• Mailing,
• Communication,
• Prospection,
• …
Village numérique Jur@TIC Atelier externalisation
Comment le faire ? (sous quels formes)
• Bien définir le projet : tâches, temps, délai de livraison, objectifs, livrable, droit d'auteur, rôle de chacun, budget
• Trouver le prestataire adéquat,
• Définir un référent dans l'entreprise
• Accompagner en interne le projet (fournir les éléments nécessaires dans les temps)
Village numérique Jur@TIC Atelier Dormir tranquille
Externaliser les ressources matériels et données
Village numérique Jur@TIC Atelier Dormir tranquille
Le serveur dédié
• Dédié ?• L'intégralité du serveur, de ses ressources vous sont
réservées. Vous l'utilisez comme bon vous semble.
• Dans ce cas, pourquoi pas dans mes locaux ?– Financement– Disponibilité– Infrastructure spécialisée (datacenter)– Services additionnels
Village numérique Jur@TIC Atelier externalisation
Technologie
• Autopsie d'une application • Deux solutions d'internalisation :
• ASP :Application service providing• Architecture N tiers
Village numérique Jur@TIC Atelier externalisation
Trois niveaux
• Des applications sur chaque ordinateur,• Un serveur dans l’entreprise qui
centralise les applications,• Un serveur externalisé qui propose les
applications
Village numérique Jur@TIC Atelier externalisation
Avantages inconvénients• Objectifs : minimiser le coût de la mise en place et de
la gestion des logiciels et des données • Bénéfices : limiter le nombre de licences, limiter ou
abandonner les serveurs dans l’entreprise• Même enjeu que la délocalisation de taches dans une
entreprise,• Évolution des applications et mise à jour plus faciles à
gérer (centralisation de l’informatique sur un point),• Besoins de compétences informatiques moindre
Village numérique Jur@TIC Atelier externalisation
Risques pour une entreprise
• Les conditions du contrat qui lie l’entreprise à son fournisseur
• La propriété des données
Village numérique Jur@TIC Atelier Dormir tranquille
Pré-requis et financement de solutions
• Pré-requis :– Organisation interne– Logiciel– Technique– Impressions
• Limites : – Applications – Sensibilité et propriété– Accès à l'internet
• Financement de solution– Passage d'une vision d'investissement à une location de service à la demande – Maitrise des couts et maintenance de la trésorerie– Amélioration du rapport qualité prix
Village numérique Jur@TIC Atelier Dormir tranquille
Dormir tranquille avec ses données !
Village numérique Jur@TIC Atelier Dormir tranquille
La sauvegarde externalisée
• Systématisation de la sauvegarde (absence d'intervention humaine)
• Garantie de disponibilité et de restauration
• Tarifs similaires à de la sauvegarde sur bande
• Automatiquement un jeu en dehors des locaux
• Fiabilité par rapport à des supports amovibles (CD/DVD, disquettes, clés USB)
• Valable pour de petits volumes (vous connaissez une solution pour 2 Go ?)
Village numérique Jur@TIC Atelier Dormir tranquille
• Les risques d'un perte de données pour mon entreprise
• Quels sont les risques pour mon entreprise ?• Combien de temps puis-je me passer d'informatique ?• Combien de temps et/ou d'argent suis-je prêt à sacrifier pour récupérer
mes données ?
• Identifier les données
• Fréquence des sauvegardes• Quelles données ? (états des systèmes d'exploitation, programmes des
commandes numériques, …)• Quelle volume ?• Temps de rétablissement admissible
=> Moyens de prévention en fonction de l'enjeu
Comment sécuriser, sauvegarder et archiver ses données ?
Village numérique Jur@TIC Atelier Dormir tranquille
Disquette CD/DVDBande
magnétique
Sauvegarde
à distanceClé USB
Fiabilité du support -- - ++ +++ ++
Solidité du support -- + + +++ +
Rapidité des restaurations --- ++ ++ + +++
Externalisation des données * * * +++ *
Facilité de restauration ++ ++ + +++ ++
Capacité de sauvegarde --- - ++ +++ +
Coût d'utilisation ++ ++ - ++ +
Coût d'investissement ++ ++ -- +++ ++
Confidentialité des données -- -- + ++ --
* Dépend de l'utilisation qui est faite du support
Comment sécuriser, sauvegarder et archiver ses données ?
Village numérique Jur@TIC Atelier Dormir tranquille
• En terme de coût : Globalement identique sauf que le lecteur de bande est un investissement et la sauvegarde externalisée est une location
• En terme de sécurité : L'externalisation est sécurisée par cryptage (côté client et transport) alors que la sécurisation de la bande dépend de sontransport et de son Stockage
• En terme de restauration : L'externalisation dépend de la 'taille du tuyau' (Intérêt d'un prestataire local) tandis que la bande est toujoursdisponible.
• En terme de capacité : Si le volume dépasse la capacité, vous devrez remplacer le lecteur et les bandes. Souplesse d'une solution externalisée.
• Facteur humain : La bande doit être changée tous les jours (sauf robot), sortie des locaux, remplacée tous les 6 mois et testée régulièrement.Et si la personne qui s'en occupe est malade ou en congés ?
Comment sécuriser, sauvegarder et archiver ses données ?
Village numérique Jur@TIC Atelier Dormir tranquille
• PRA = Plan de reprise d'activité
• Evaluation des scénarios catastrophes• Mise en place des procédures pour y répondre
• L'entreprise peut faire son auto-évaluation mais un oeil extérieur est toujours souhaitable.
• Quelques exemples :– Mon ordinateur prend la foudre– Dégâts des eaux– Départ d'incendie dans mon local serveurs
Comment sécuriser, sauvegarder et archiver ses données ?
Village numérique Jur@TIC Atelier Dormir tranquille
• La sécurité est l'affaire de tous
• (In)formation des collaborateurs sur le fonctionnement du S.I. =responsabilisation
• La charte informatique, le recours légal au delà de la technique• Et mes fournisseurs et sous-traitants ?
• C'est un jeu de matriochkas (tout s'imbrique)• Sécurité depuis l'extérieur, depuis l'intérieur, personnel, données,
tout ne fait qu'un !
Comment sécuriser, sauvegarder et archiver ses données ?
Village numérique Jur@TIC Atelier Dormir tranquille
« Atelier Jur@TIC Sécurité »réalisé par :
• Jean-Claude Louis, société Netmind
• Xavier Richard, société Arilog
• Julien Escario, société Azylog