Beruflich Dokumente
Kultur Dokumente
AMAN VLADIMIR
Blog de lauteur :
www.cybercrimactu.wordpress.com
vladimiraman@gmail.com
INTRODUCTION ------------------------------------------ 10
PREMIER PARTIE :
FAIRE DE LA SECURITE INFORMATIQUE, QUELS IMPLICATIONS ?
1 DEFINITIONS-------------------------------------------------------------------------------------------------------------- 13
1 La scurit informatique ------------------------------------------------------------------------------------------- 13
2 Le systme dinformation ------------------------------------------------------------------------------------------ 15
3 Systme informatique ---------------------------------------------------------------------------------------------- 17
2 SECURITE INFORMATIQUE : RVE ACCESSIBLE ? ----------------------------------------------------------------- 18
1 Peut-on garantir la scurit en informatique ? --------------------------------------------------------------- 18
2 Le paradoxe du concept de "scurit informatique" --------------------------------------------------------- 21
3 RISQUES ET ENJEUX DE LA SECURITE INFORMATIQUE EN ENTREPRISE -------------------------------------- 23
1 LES RISQUES ---------------------------------------------------------------------------------------------------------- 23
1. Les risques physiques------------------------------------------------------------------------------------------------------ 23
2. Les risques logiques -------------------------------------------------------------------------------------------------------- 24
2 LES ENJEUX ------------------------------------------------------------------------------------------------------------ 26
1. Sur le plan financier-------------------------------------------------------------------------------------------------------- 27
2. Atteinte limage ---------------------------------------------------------------------------------------------------------- 27
3. Sur le plan humain --------------------------------------------------------------------------------------------------------- 28
4. Sur le plan juridique ------------------------------------------------------------------------------------------------------- 28
4 SECURITE INFORMATIQUE : PLUS QUUN CONCEPT STRATEGIQUE, UNE QUESTION DE
GOUVERNANCE ----------------------------------------------------------------------------------------------------------------- 29
1 LOIS ET CONVENTIONS --------------------------------------------------------------------------------------------- 30
1. La loi Sarbanes-Oxley ------------------------------------------------------------------------------------------------------ 30
2. Les accords de Ble -------------------------------------------------------------------------------------------------------- 33
3. Le standard PCI DSS -------------------------------------------------------------------------------------------------------- 34
4. La norme ISO 27001 ------------------------------------------------------------------------------------------------------- 35
5. La norme ISO 27002 ------------------------------------------------------------------------------------------------------- 37
2 LES METHODES DE SECURITE ------------------------------------------------------------------------------------- 40
1. EBIOS (Expression des Besoins et Identification des Objectifs de Scurit) ------------------------------------- 40
2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)----------------------------------- 42
3. MEHARI (Mthode Harmonise d'Analyse des Risques) ------------------------------------------------------------ 43
4. CRAMM (CCTA Risk Analysis and Management Method) ---------------------------------------------------------- 45
5. ITIL (Information Technology Infrastructure Library) ---------------------------------------------------------------- 46
DEUXIEME PARTIE :
LA SECURITE NEST PAS SEULEMENT UN ENJEUX TECHNOLOGIQUE
TROISIEME PARTIE :
RSSI, RM :LES NOUVEAUX METIERS DE LA SECURITE DES SYSTEMES
DINFORMATIONS
criminologiques ont pourtant montr que le passage lacte dlictueux est la rsultante
victimologiques.
internautes en Afrique, les problmes lis la scurit dans le cyberespace ont acquis
une importance plus que capitale pour les Gouvernements et aussi pour les dirigeants
dentreprises du secteur priv. En effet, le secteur priv reste le plus grand terrain de
Mais comme dans bien des domaines, les entreprises Africaines se sont accapares de
plonges dans un modle de gestion numris, qui ne possdent mme pas les
rudiments basiques de la scurit informatique ?
Cet ouvrage se propose douvrir le dbat sur la conception de la scurit des systmes
dinformations pour les entreprises du secteur priv et mme des gouvernements. Loin
Complexes et nouvelles pour la plupart des Etats Africains, les TIC en gnral et
connu par lopinion publique, du moins dans les pays Africains ; do la relative
Le domaine de la scurit informatique reste lun des champs dapplication les plus
purement techniques dans cet ouvrage, tant donn quil sappuie sur des travaux et
procds dj tablis. Cet ouvrage doit tre abord, non pas comme un recueil de
recettes magiques de scurit informatique au sens technique du terme, mais plutt
informatique en entreprise.
de la scurit des systmes dinformation au sein des organisations. Il est conu pour
tre accessible toutes catgories de publics, quelque en soit la formation de base, car
Aman Vladimir
1 Systme dInformations
2Par analogie le systme dinformations est lentreprise, cest quest que le cur lHomme. Toute
maladie affectant cet organe est potentiellement mortel.
1 LA SECURITE INFORMATIQUE
Cest lensemble des moyens mis en uvre pour rduire la vulnrabilit dun
systme informatique contre les menaces accidentelles ou intentionnelles auxquelles
il peut tre confront. En dautres mots, cest l'ensemble des techniques qui assurent
que les ressources du systme d'information (matrielles ou logicielles) d'une
organisation sont utilises uniquement dans le cadre o il est prvu qu'elles le
soient. Les exigences fondamentales de la scurit Informatiques se rsument
assurer:
Parce quil nest possible de se protger que contre les risques que lon ne connait !
Ceci dit, il convient pour chaque entreprise dvaluer les risques, cest--dire les
mesurer en fonction de la probabilit de leurs apparitions et de leurs effets
possibles. Les entreprises ont tout intrt valuer, quoique grossirement ces
risques et les moyens mettre en uvre, en fonction de leurs cots. La notion de
risque peut tre apprhende comme tant le produit dun prjudice par la
probabilit doccurrence de celui-ci. La notion de risques est dfinie par les
spcialistes selon lquation suivante :
Cette formule sous-entend quun vnement dont la probabilit est assez leve
mais dont il est possible de prvenir le prjudice quil peut causer, reprsente un
risque acceptable. Il en va de mme pour un vnement la gravit imparable (ex :
effondrement dun immeuble), mais probabilit doccurrence faible. Il va de soi
que dans le premier cas, le risque ne devient acceptable que si les mesures de
prvention contre le prjudice sont effectives et efficaces.
Une fois lanalyse des risques effectue, la politique de scurit est mise en place.
Celle-ci a pour rle de:
2 LE SYSTEME DINFORMATION
ACCESSIBLE ?
La scurit dsigne en elle mme une situation, un tat dans lequel lon nest pas en
danger. Il sagit dans une vision plus large, dun tat de tranquillit desprit inspire
par la confiance, le sentiment de ne pas tre menac. tre en scurit, cest avoir la
certitude dtre hors dtat dtre atteint par une menace quelconque. Applique au
monde informatique, cette dfinition aurait du mal sappliquer, tant les menaces
sont omniprsentes et multiformes. Hors mis les menaces extrieurs, lutilisateur
dun systme dinformation constitue lui-mme une menace pour lintgrit de ce
dernier.
Les problmes de scurit informatique peuvent de faon trs gnrale tre classs
en deux grandes catgories :
- Ceux qui concernent la scurit de lordinateur proprement dit, serveur ou
poste de travail, de son systme dexploitation et des donnes quil abrite;
- Ceux qui dcoulent directement ou indirectement de lessor des rseaux, ce
qui multiplie la quantit et la gravit des menaces.
De plus, la rsorption des vulnrabilits dun systme informatique, demeure un
enjeu crucial pour les personnes dont les donnes sont gres par un STAD
3 La multiplication des vulnrabilits, la gnralisation des ordinateurs portables qui se dplacent hors
du rseau de lentreprise, lusage de logiciels novateurs (code mobile, Peer to Peer (P2P), sites
interactifs, tlphonie et visioconfrence sur IP) et dautres innovations, ont ananti la notion de
primtre de scurit de lentreprise. Ceci oblige le responsable SSI considrer que la menace est
partout et peut se manifester nimporte o. Il faut continuer d'essayer dempcher les intrusions dans
le SI de lentreprise, mais le succs de la prvention ne peut plus tre garanti, raison pour laquelle il
faut se prparer limiter les consquences dune attaque russie, qui se produira forcment un jour.
Cette catgorie dinformations est librement diffuse sur Internet, car elle
ne constitue pas une ressource protger. Cela dpend toutefois de
lactivit exerce par lentreprise. Il sagit par exemple des nouvelles offres,
des achats en ligne, de la mise jour de systmes, de logiciels, des
coordonnes du service client, du service technique, des contacts du
webmaster pour le site Internet, etc. Tout type dinformation qui ne peut
mettre en danger ni lentreprise, ni ses partenaires commerciaux, ni ses
sous-traitants ou ses clients. Il sagit de toutes informations qui ne sont pas
considres comme sensibles pour lentreprise, en tenant de la politique
Interne et des objectifs de lentreprise.
INFORMATIQUE "
Cependant, tout ceci cre aussi de nouvelles menaces auxquelles il faudra faire face
en mme temps que lon tend son champ dactivit via le web. En effet, en oprant
dans un environnement aussi ouvert quInternet, les entreprises se trouvent
exposes des attaques qui nauraient pu avoir lieu dans un environnement
compltement ferm. Ainsi, les attaques de type 4DoS, 5DDoS, Botnet, Backdoors,
En rsum, lheure des TIC et du web 2.0, la tendance est plutt vers louverture,
ce qui implique ncessairement une volution des menaces cybercriminelles, do la
ncessit de mettre un accent particulier sur les politiques de scurit Informatique.
5 Distributed deny of services : Dni de service distribu, (voir Thesaurus de la Scurit Informatique)
1 LES RISQUES
Il sagit de toutes les atteintes physiques directes dont peut tre victime un systme
dinformations au cours de son cycle de vie. On les appelle galement risques
matriels, parce quils ont trait lintgrit du matriel. Il sagit entre autres
dvnements tels que:
Cest pour rpondre cette question que sont apparues les notions daccident,
derreur et de malveillance, directement issues des mthodes danalyse des risques
dveloppes ces dernires annes.
6 Linformatique distribue correspond la structure de la socit humaine, en rseau, o chacun est diffrent et
avance son rythme
7 Informatique dans les nuages
Vol dinformations : Avec Internet, le vol sen trouve dmatrialis, tant donn
que lobjet drob est une valeur virtuelle, voire abstraite. Il sagit pour lentreprise
de risques tels que : espionnage industriel, vol des listes des clients, vol
dinformations comportant des donnes personnelles de clients ou du personnel, vol
des plans ou les recettes des productions, vol de la comptabilit.
Par exemple, une personne mal intentionne inonder le serveur dune entreprise de
requtes, jusqu ce que celui-ci ne soit en mesures de rpondre aux requtes et
sarrte de fonctionner ; rendant ainsi indisponible le Site web de lentreprise
pendant de longues heures.
2 LES ENJEUX
Les risques numrs plus haut peuvent avoir un impact direct ou indirect sur
lentreprise par lentremise des diffrents utilisateurs du Systme dInformation que
sont ses clients, ses employs ou ses partenaires daffaires.
2. Atteinte limage
Dans le cas dun incident informatique, lune des consquences les plus difficiles
valuer reste le ressentiment que peuvent avoir les clients, vis--vis de la confiance
quinspire les produits et services. La dgradation de limage de marque et perte de
la crdibilit sont des consquences absolument dommageables pour lentreprise,
surtout en labsence dune politique de gestion de communication de crise efficace.
Les consquences sur le plan humain peuvent tre faciles contenir, travers une
politique de suivi social et daccompagnement des employs.
La notion de gouvernance dentreprise est un concept rcent qui est apparu dans le
dbut des annes 1990. La gouvernance dentreprise peut tre dfinie comme
lensemble des rgles permettant aux actionnaires ou partenaires de sassurer que
les entreprises dont ils dtiennent des parts ou dans lesquelles ils ont un intrt
particulier, sont diriges en conformit avec les visions et objectifs fixs par
consensus.
Par exemple, lintrt de la nation est fortement engag en ce qui concerne limpact
de la cybercriminalit sur les entreprises publiques et mme prives des secteurs
stratgiques et critiques (nergie, sant, banque, etc.) au plan national. De ce point
de vue, lEtat apparait comme un partenaire de premier ordre des autres acteurs du
secteur priv, en ce qui concerne la cyberscurit nationale.
Si les systmes juridiques, les cadres institutionnels, les habitudes et les cultures
diffrent selon les pays, lune des questions fondamentales laquelle ils sont tous
confronts est de savoir comment faire en sorte que les dirigeants des entreprises
prives, agissent au mieux des intrts des actionnaires dont lEtat figure au premier
rang. A ce sujet, les pays dit industrialiss ont compris la ncessit de contrler
1 LOIS ET CONVENTIONS
1. La loi Sarbanes-Oxley
La loi Sarbanes-Oxley, des noms respectifs des deux snateurs Paul Sarbanes et
Michael G. Oxley, a t adopte par le congrs Amricain en Juillet 2002. Cette loi,
aussi dnomme Public Company Accounting Reform and Investor Protection Act
of 2002 ou plus simplement SOX ou Sarbox, est la rponse aux multiples scandales
comptables et financiers : Enron, Tyco International ou encore WorldCom.
L'application de cette loi entre en vigueur pour toutes les entreprises Amricaines
cotes au NASDAQ ainsi que leurs filiales l'tranger. Chacune d'entre elle doit
certifier ses comptes auprs de la Securities and Exchanges Commission (SEC),
l'organisme de rgulation des marchs financiers Amricains. Cette loi prend en
compte les aspects suivants :
8 ERP : Enterprise Resource Planning (ERP) ou Progiciel de Gestion Intgr (PGI) est un
logiciel qui permet de grer lensemble des processus dune entreprise, en intgrant toutes
les fonctions de cette dernire comme la gestion des ressources humaines, la gestion
comptable et financire, laide la dcision, mais aussi la vente, la distribution,
lapprovisionnement, le commerce lectronique.
Il est ncessaire de prendre des mesures prcises, afin dviter toute perte et vol de
donnes ou linfection du rseau par des virus.
Les sauvegardes
Sauvegarde des serveurs et des postes sensibles.
Spcification de la dure de rtention des sauvegardes en fonction de chaque
entreprise.
Ralisation de tests de restauration tous les quatre six mois.
La scurit physique
Rglementer de manire stricte l'accs aux btiments et aux ressources
informatiques.
Contrle et restriction des accs aux diffrentes zones de l'entreprise via un
systme de contrle.
Passage obligatoire des visiteurs par l'accueil pour tre enregistrs.
Ils ont pour objectif de contrler lensemble des risques auxquels les tablissements
bancaires/financiers sont soumis. Ces accords spcifiques aux tablissements
financiers Ble I, II, III, en raison de leur grande maturit en matire de gestion des
risques, se rapprochent ainsi de rglementations plus gnriques comme la loi
Sarbanes-Oxley prcite. La dernire version de ces accords en cours dapplication
est Ble II. Ces accords ont pour objectif de mieux apprhender les risques
bancaires et permettre une gestion plus fine des risques en phase avec la ralit
conomique.
Ce standard est destin aux plus importantes entreprises de carte de dbit et crdit. Il
s'agit en ralit d'un guide de 12 rglements qui aident les entreprises mettrices de
cartes de paiement protger leurs donnes et prvenir les fraudes. Ces douze
rglements sont :
9PCI DSS (Payment Card Industry Data Security Standard) est un standard de scurit des
donnes, pour les industries de carte de paiement cr par le comit PCI SSC.
Thmatique de lensemble ISO 27000, ISO 27001 est une norme d'origine
britannique ddie au systme de management de la scurit de l'information. La
norme ISO 27001 est oriente processus et propose en toute logique une dmarche
d'amlioration continue de type PDCA et constitue le standard principal dcrivant
les exigences d'un systme de pilotage de la scurit des informations. Le PDCA ou
roue de deming propose 4 temps : Plan- Do- Check -Act ou Planification,
Dploiement, Contrle et Action.
A ce niveau, il sagit de raliser des audits et contrles internes et aussi des revues.
Lentreprise doit respecter les points de contrles suivants :
Cest la dernire tape du processus PCDA, qui consiste appliquer les actions
correctives, identifier des voies d'amlioration et raliser le bouclage. Lentreprise
doit respecter les points de contrles suivants :
La norme ISO/CEI 27002 est compose de onze sections principales, qui couvrent
le management de la scurit aussi bien dans ses aspects stratgiques que dans ses
aspects oprationnels. Chaque section constitue un chapitre de la norme :
Mme si les seulement deux normes ont t prsentes dans le cette section, il faut
savoir que lensemble ISO 27000 est constitu de 12 thmatiques.
Date
Intitul Statut Domaine
publication/rvision
Cette mthode fait partie dune srie de guides mthodologiques publis par la
direction centrale de la scurit des systmes dinformation (DCSSI)10 du ministre
de la dfense franaise. Elle est notamment prconise dans ladministration
franaise et dans les entreprises. Cette mthode, cre en 1995, se compose de cinq
guides (Introduction, Dmarche, Techniques, Outillages pour lapprciation des
risques et Outillages pour le traitement des risques) et dun logiciel support
permettant la mise en uvre de la mthode. Le logiciel a accs une base de
connaissances donnant accs la description d'un ensemble de vulnrabilits
Identification des
besoins de scurit
Expression des
exigences de
scurit
Cest une mthode dvaluation publie par le SEI (Software Engineering Institute)
de la Carnegie Mellon University de Pittsburgh aux tats-Unis, universit trs
reconnue dans le domaine de la scurit. En se basant sur les travaux du CERT 11
1) Vue organisationnelle,
2) Vue technique,
3) Dveloppement de la stratgie de scurit.
MEHARI est une mthode d'analyse des risques mise au point en 1996 par le Club
de la scurit de l'information franais (CLUSIF). Elle s'inspire de la mthode
MARION, elle aussi mise au point par le CLUSIF.
MEHARI a pour but d'aider les entreprises et organismes scuriser leurs systmes
d'information. Elle est trs utilise en France, en Europe et galement au Qubec.
La dmarche gnrale de MEHARI consiste diagnostiquer ltat de la scurit,
l'analyse des enjeux de scurit avec une classification pralable des entits du
systme dinformation en fonction de trois critres de scurit de base
(confidentialit, intgrit, disponibilit). MEHARI dispose galement dune base de
connaissance des services de scurit et pourra tre employe pour btir un
rfrentiel de scurit (politique de scurit) contenant lensemble des rgles de
scurit respecter dans lentreprise. MEHARI demeure une des mthodes
danalyse des risques les plus utilises actuellement. Elle est drive de deux autres
mthodes danalyse des risques (MARION et MELISA).
a) En se basant sur une analyse dtaille des risques, il est possible de mettre
en uvre des plans de scurit. Cette dmarche se dcline au niveau
stratgique, mais aussi oprationnel.
b) En se basant sur laudit de scurit, ou plus prcisment aprs un
diagnostic de ltat de scurit, la ralisation de plans dactions est
facilite. En effet, des faiblesses releves dcoulent alors directement, les
actions entreprendre.
c) Dans le cadre de la gestion dun projet particulier, il faut tenir compte de
la scurit, en se basant sur lanalyse des risques et ainsi faciliter
llaboration de plans daction. Les besoins de scurit sont alors
directement intgrs aux spcifications du projet, et intgrer dans le
plan de scurit global de lentit concerne. Cette mthode saligne avec
CRAMM est payante et propose une base de connaissance (librairie) trs riche
contenant plus de trois milles contre-mesures dtailles, organises en soixante dix
groupes logiques. CRAMM fournit aussi des logiciels pour la mise en uvre de la
mthode qui permettent de faire des simulations, des rapports et le suivi des
mesures (contre-mesures) de scurit. Il existe deux variantes de CRAMM,
savoir :
Lacronyme traduit en franais donne une ide plus claire de ce quest ITIL,
Information Technology Infrastructure Library ou bibliothque dinfrastructure des
technologies de linformation. Il sagit dune bibliothque, ensemble de livres dans
lesquels sont reprises et consignes de nombreuses pratiques, procdures et
mthodes permettant de grer les systmes dinformation.
Contrairement celles prcites, ITIL nest pas une mthode mais un grand recueil
des meilleures pratiques , mais qui utilise certaines des mthodes (EBIOS,
MEHARI, etc.).
ITIL prsente un ct trs flexible qui permet de ladapter trs facilement la ralit
rencontre dans une entreprise donne. Cette caractristique constitue lune des
raisons de son grand succs au niveau mondial. En outre, depuis janvier 2006 ITIl
est couple avec la norme ISO 20000 reposant sur la norme britannique BS 15000.
Comme indiqu plus haut, l'ingnierie sociale (social engineering en anglais) est
une forme d'escroquerie utilise en informatique pour obtenir un bien ou une
information. Cette pratique exploite l'aspect humain et social de la structure
laquelle est li le systme informatique vis. Utilisant ses connaissances, son
charisme, l'imposture ou le culot, le pirate abuse de la confiance, l'ignorance ou la
crdulit de personnes possdant le bien informationnel qu'il tente d'obtenir
(informations en lespce). Il serait donc intressant de mettre un peu plus laccent
sur ce qui est considr par les experts de la scurit comme le maillon faible de la
chane de scurit, c'est--dire lHOMME.
DE SECURITE
" Ne vous fiez pas aux protections et aux pare-feu pour protger vos
informations. Surveillez les points les plus vulnrables. Vous
constaterez que cest votre personnel qui constitue le maillon faible
" Lart de la Supercherie, Kevin D. Mitnick et William L. ; ditions Campus
Press.
Dans le monde de la scurit TI, lon croit trop souvent que les cybercriminels sont
beaucoup plus ingnieux et savants que les professionnels assigns la scurisation
des SI. Or, selon le clbre hacker Kevin Mitnick12, presque toutes les failles de
haut niveau (critiques) sont le rsultat dune violation des processus mtiers et/ou
rgles procdurales ou de lingnierie sociale, mais non le fait dun savoir faire
technique exceptionnel.
12Kevin Mitnick est considr comme le plus clbre hacker de ses dernires dcennies et est le pre
de lIngnierie sociale
1. La perception
Les capteurs qui permettent notre perception ne sont pas passifs, cest--dire
exclusivement ractifs. Par exemple, les yeux ne sont pas comme une camra qui se
contenterait de transmettre des images qui se trouvent dans son champ visuel et
selon une configuration bien dtermine. Les yeux explorent lespace, guids par le
cerveau. Linformation est recherche activement, en fonction de laction qui est en
cours et de lexprience de la personne. Cest--dire que des informations qui ne
sont pas recherches seront perues beaucoup moins facilement que celles qui le
sont.
Focalisation de lattention quand on attend le bus : les vhicules qui passent et qui
ne sont pas des bus seront peine perus. Si un bus arrive, la perception va se
modifier pour se focaliser sur le numro et non plus sur la forme gnrale du bus.
3. Un traitement variable
Le cerveau est une glande , cest--dire une structure anatomique qui a pour
fonction la production et la scrtion de substances hormones (enzymes digestives,
sueur, salive, lait, etc.). Le systme nerveux nest pas semblable un cblage
lectrique, mme sil est vrai que dans les neurones, linflux nerveux (lectrique) se
propage de faon stable, sauf maladie neurologique. Mais chaque neurone est en
relation avec plusieurs autres en amont, et en gnral un grand nombre en aval. Le
transport des messages nerveux entre deux neurones peut tre affect par les
motions se trouvant dans la fente synaptique . Or, lespace synaptique baigne
dans le liquide extracellulaire, qui peut contenir dautres neurotransmetteurs,
4. La mmoire
5. Un apprentissage permanent
Le cerveau, nous lavons dit, ne se contente pas dattendre que les informations lui
parviennent. partir de son anticipation des consquences de laction en cours, il
commande lexploration perceptive, prdit les informations quelle devrait rapporter
et contrle par chantillonnage que les choses se passent comme prvu. Le cerveau
ralise en permanence des prdictions, en utilisant les souvenirs de configurations
similaires. Il simule les consquences de diffrentes actions possibles, en activant
les mmes voies nerveuses que si laction tait vraiment effectue. Dans ce cas de
figure, seule la ralisation est inhibe.
2. La fatigue
Les vnements de la vie (conflit, deuil, chec. . .) et les motions qui en rsultent
peuvent affecter ltat physique de la personne, sa perception, ses prises de dcision.
Par exemple, la recherche dinformations sera plus limite, les raisonnements
intgreront moins de facteurs, les dcisions seront moins nuances. Si ces
vnements sont dorigine individuelle (familiale), les autres membres du collectif
de travail pourront en gnral compenser les variations de ltat de la personne
concerne. Si en revanche lorigine est collective (conflit avec la hirarchie,
incident occasionn par un maillon de la chane de scurit), il sagit dun mode
commun , et cest toute la capacit perceptive et dcisionnelle de lquipe qui peut
se trouver modifie.
1. Le stress au travail
Le stress au travail peut tre dfinit comme tant un tat accompagn de plaintes
ou dysfonctionnements physiques, psychologiques ou sociaux, et qui rsulte du fait
que les travailleurs se sentent inaptes combler un cart entre leurs possibilits et
les exigences ou les attentes les concernant . Le stress nest pas une maladie mais
une exposition prolonge au stress peut rduire lefficacit au travail et causer des
problmes de sant. La rponse biologique se fait en deux ou trois temps :
Le systme nerveux agit sur la partie centrale des glandes surrnales, qui secrtent
des catcholamines (adrnaline, noradrnaline). Celles-ci vont provoquer la
mobilisation de stress. Alors la pression artrielle augmente, le sang est dirig de
prfrence vers les muscles et le cerveau, le sucre disponible dans le foie est mis en
circulation dans le sang. Cette raction rapide conduit une mobilisation dnergie
court terme qui permet de faire face la situation immdiate, mais qui puise les
Selon les experts en gestion des ressources humaines, la gestion des choses ou
gestion du personnel (management comptable, technique, administratif) remplace
progressivement le gouvernement des hommes (management des quipes, et des
processus humains). Or, lhomme reprsente le capital de comptences, de
professionnalisme, d'engagement, d'innovation, d'initiatives et de performance qui
garantit la russite et la prennit des entreprises, petites et grandes. La question qui
se pose est de savoir si la Direction des Ressources Humaines, nest voue
exclusivement qu la gestion des choses ou gestion du personnel ; ou doit-elle
s'ouvrir un peu plus au gouvernement des hommes (management des quipes). On
voit naitre, au del de toutes considrations idologiques, le besoin de construire ou
reconstituer une culture managriale qui puisse associer:
la comptence humaine des managers,
la comprhension des phnomnes collectifs et des pratiques de management
des hommes
le dveloppement d'une culture spcifique qui intgre l'originalit singulire
et la diversit de chaque entreprise.
En somme, il est question de repositionner l'homme au cur du systme , en
crant les conditions d'un alignement individuel fort avec les valeurs de
l'entreprise. Car si l'on veut sortir du domaine de l'incantatoire en matire de
scurit, il faut que les "aveugles " que sont les managers et les directions,
retrouvent la vue et que les "muets" que sont les collaborateurs puissent
s'exprimer .
1 LA CULTURE DE SECURITE
Engagement de la direction
Systme de management de la scurit
Dvelopper une culture de la scurit revient construire une cohrence entre les
rgles et les comportements, entre le discours et la pratique, pour faire de la scurit
une valeur partage par tous, au sein de lentreprise. La vritable difficult reste
lapplication et la mise en uvre effective de la fonctionnalit de liens entre
lorganisation et les comportements. Pour ce faire, certains principes sont prendre
en compte. Ce sont ces principes que nous tudierons dans les points suivants.
La gestion des ressources humaines (GRH) peut tre dfinie sommairement, comme
la gestion des hommes au travail dans des organisations. La gestion des ressources
humaines est une discipline complte qui va au del de la simple administration du
personnel, comme ctait le cas avant les annes 1980. Cet lment capital pour la
vie et la croissance des entreprises, comporte plusieurs facettes, savoir : gestion
Lanalyse de tous ce qui suit conduit considrer la scurit en entreprise selon une
approche marketing . En effet, la scurit en entreprise dans tous les domaines,
tend devenir un produit/service dvelopper, promouvoir lintrieur et
lextrieur de lentreprise, tant donn que les grands principes du marketing sy
appliquent. La culture de la scurit ne peut tre impose, mais plutt promue avec
une approche de connivence . Les moyens mis en uvre pour asseoir et
dvelopper une vraie culture de la scurit en entreprise doivent sappuyer sur la
Un accent particulier doit tre mis sur la formation continue des salaris, mais aussi
sur la politique de recrutement des nouveaux employs. En effet, les TIC et par
ricochet la criminalit informatique sont trs volutifs, do la ncessit deffectuer
des mises niveau permanentes, afin de rester au parfum des innovations
technologiques et volutions des pratiques de lactivit cybercriminelle. Une
politique de formation pour les employs admis des postes de responsabilits
critiques pour la scurit des systmes dinformation, doit tre mise en place. Il ne
sagit pas juste de donner des armes technologiques aux agents, mais den garantir
une matrise totale, afin de maximiser lefficacit des employs.
Proche dans ses principes de lanalyse des pratiques , bien connue des
professionnels du secteur social et mdico-social, le retour dexprience est
avant tout un moment darrt et de rflexion en cours daction, destin identifier
ce quil est ncessaire damliorer du fonctionnement dun tablissement, dune
entreprise, dune organisation eu gard aux objectifs poursuivis. Le retour
dexprience est compos de deux phases principales : une phase de bilan de
laction ralise et une phase de remdiation, consacre la recherche et la mise
en place de solutions destines amliorer laction venir. Cest ce bilan qui,
conduisant la dfinition de mesures correctives, constitue par la mme occasion le
processus dapprentissage.
3 POLITIQUES ET PROCEDURES
1. Budgets et dpenses
Les domaines de scurit qui font le plein sont ceux lis la scurit des donnes et
des investissements en gestion des vulnrabilits. En revanche, les entreprises ont
rduit leurs dpenses en matire de gestion des accs et des identits, gouvernance
et scurisation des applications. La dernire tude de Forrester, qui a interrog pour
l'occasion 2 058 dcideurs informatiques en Amrique du Nord et en Europe, met
galement en avant le fait que 54% des entreprises disposent d'un responsable de la
scurit des systmes d'information rapportant directement un membre de la
direction gnrale.
Les tudes de ce genre sont bien malheureusement rares, voir inexistantes, dans les
pays Africains en gnral. Il serait hasardeux de donner des lments
dinformations sur le sujet, tant les sources dinformations sont rares en Cte
dIvoire. Des projets dtudes sur le terrain sont formuls, mais une implication plus
grande des politiques est ncessaire, afin de proposer des lments de
comprhension et de rponses au problme de la scurit et de la criminalit
informatique en entreprise.
Toutefois, il est noter que les dpenses sont en gnral reparties entre logiciels et
infrastructures. En effet, les dpenses de scurit sont principalement perues
comme une couverture du risque et dans une moindre mesure, comme un gage de
qualit ou un avantage concurrentiel. Elles sont plus rarement perues comme une
contrainte ou un mal ncessaire, ce sentiment tant le fait dune mauvaise
valuation des enjeux de la scurit informatique et une absence ou une sous-
2. Externalisation
Par ailleurs, lexternalisation comporte tout de mme des risques. Le premier risque
non ngligeable dcoulant d'une externalisation, est celui de la perte de
confidentialit des informations. De plus, les employs ont une perte de
connaissance de leur capital immatriel. L'externalisation doit tre murement
rflchie, et le choix du prestataire externe est primordial. La qualit de ce dernier
est indispensable pour que la stratgie s'opre de faon optimale. Ces risques
doivent donc tre examins de trs prs par l'entreprise souhaitant externaliser une
3. Pilotage et Contrle
Niveau 1 : Il comprend les contrles raliss chaque jour par les quipes
oprationnelles (remontes dindicateurs, contrles techniques et
mthodologiques, etc.). Il est intgr leurs procdures et processus
rguliers, selon le principe de lautocontrle . Il sagit par exemple de
sassurer que les infections virales sont matrises par consultation
quotidienne des logs et reporting au niveau dune console centrale, de revoir
de manire rgulire les droits utilisateur dune application, de sassurer que
lapplication des correctifs de scurit se fait en accord avec la politique de
scurit, etc. Ces contrles de niveau 1 sont souvent largement automatiss et
industrialiss.
Niveau 2 : Il comprend les contrles permettant, dune part, de vrifier la
validit des contrles de niveau 1, effectus par les quipes oprationnelles et
13 Ensemble des rgles et mthodes dintgration du Droit comme outil daide la dcision
Pour des contrats conclus avec les fournisseurs d'informatique, il faut s'assurer que
le fournisseur sengage garantir au minimum, la mise en place de systmes de
protection (notamment firewall et anti-virus) conformes aux technologies
disponibles sur le march. Enfin, rappelons que pour tre efficace, ces engagements
devront tre valables aussi bien lors de la premire livraison du systme, que par la
suite dans le cadre de la maintenance du systme. Il est important de prvoir la
charge du fournisseur une obligation contractuelle de mise jour rgulire du
systme informatique pour couvrir les cas de dfaillance du systme de scurit du
fait de son caractre obsolte.
De plus, les contrats de back-up sont une alternative intgrer dans sa stratgie
lorsquon sengage avec un fournisseur. Le contrat de back-up a pour objectif de
prvoir les conditions dans lesquelles un fournisseur met la disposition d'un client
Il est aujourd'hui indispensable pour une entreprise d'avoir une police d'assurance
qui tienne compte du risque informatique. Les garanties proposes par les assureurs
en matire informatique s'articulent autour de trois types de garanties :
En somme, ces trois types de garantie peuvent tre cumuls et tre consigns
dans une police unique dite "Globale Informatique" (GI). Une telle police
comporterait l'ensemble des garanties faisant l'objet des contrats examins ci-
dessus savoir:
Pour tre opposable aux salaris de lentreprise, la Charte doit tre adjointe au
rglement intrieur dans la mesure o:
Le code du travail Ivoirien stipule en son article 15.1, chapitre 5 du Titre 1er :
[]Avant de le mettre en vigueur, le chef d'entreprise doit communiquer le
rglement intrieur aux dlgus du personnel, s'il en existe, et l'Inspecteur du
Les salaris, de leur ct, doivent respecter les consignes qui leur sont donnes,
utiliser correctement les dispositifs de salubrit et de scurit, et s'abstenir de les
enlever ou de les modifier sans autorisation de l'employeur .
Il sagit dune faute de moindre gravit mais qui fait perdre au salari, l'indemnit
de licenciement (Somme due par lemployeur au salari licenci hors cas de faute
grave ou lourde qui a au moins un an danciennet dans lentreprise). Cette
indemnit est fonction du salaire et de lanciennet de lintress et l'indemnit de
pravis (lindemnit compensatrice de pravis est donc gale la rmunration
habituelle du salari, avantages compris. Cest la somme due par lemployeur qui
- la faute grave
Cette faute est celle qui rend impossible la continuation du contrat de travail, mme
pendant la dure de pravis. Elle provoque la rupture immdiate du contrat de
travail. Cette faute fait perdre au salari l'indemnit de licenciement et l'indemnit
de pravis.
- la faute lourde
La faute lourde est une faute particulirement grave, intentionnelle comme le vol,
l'injure grave profre l'gard de l'employeur sur les lieux du travail et devant
tmoins et les actes indirects de concurrence. Le travailleur est alors priv de
l'indemnit de licenciement, l'indemnit de pravis et l'indemnit compensatrice de
congs pays.
Avec lvolution effrne des technologies et partant des vulnrabilits, Il est vital
pour lentreprise de suivre quotidiennement les dernires mises jour et failles de
scurit, qui concernent le matriel informatique (serveurs, postes de travail,
logiciels, etc.) utilise dans larchitecture de son systme dinformation. La veille
technologique doit tre une tche entirement et exclusivement ddie un agent ou
selon besoin une quipe, constitue de personnels dots de connaissance en veille
en ligne. Au-del des outils logiciels de veille en ligne, il est galement conseill de
sinscrire sur les sites spcialiss, sabonner des mailing-list, flux RSS, forum
spcialiss, etc., pour recevoir ces informations de scurit. Cette dynamique de
veille permet de rester en contact permanent avec les changements qui interviennent
sur les systmes, rseaux, logiciels et de disposer dune capacit de raction plus
grande, en cas de problmes majeurs de scurit.
Ensuite, le niveau de scurit des applications libres (open source) nest plus
dmontrer. En effet, laccessibilit au code source de lapplication favorise une
appropriation du concept mis en jeu dans la cration de lapplication et partant, un
contrle plus large de la fiabilit et de la scurit du code. Cette caractristique est
mise en lumire par les communauts dutilisateurs et de dveloppeurs de logiciels
libres aussi comptents que leurs collgues du logiciel exclusif, comme gage de
scurit. A titre dexemple, plusieurs algorithmes open source sont prsentement
trs utiliss dans les solutions de cryptage, tels que : OpenSSH, 3DES Blowfish,
AES et Arcfour. En outre mme le gant Google, a lanc son tour un outil de
chiffrement open source baptis KeyCzar. Sappuyant sur les bibliothques
OpenSSL, PyCrypto et Java JCE, cet algorithme serait cens aider les dveloppeurs
utiliser des technologies de chiffrement sres pour leurs applications.
Enfin, tous ces avantages ne sauraient occulter les risques lis lutilisation de
logiciels libres. Notamment en ce qui concerne la fourniture de services de soutien
professionnels la mise en uvre des solutions. Le risque de dpendance un outil
non soutenu, dtre confront des bogues sur des solutions hbergeant des services
critiques pour lentreprise, nest pas ngliger. Cependant, de nombreux logiciels
open source bnficient de services de soutien non gratuits (payants) gnralement
assurs par des organisations ou entreprises but lucratif, qui se construisent le
modle conomique autour du projet dlaboration du logiciel libre en question.
Nmap : Permet le balayage automatis des ports TCP et UDP d'un systme distant Nmap -
sS -v -P0 -g 53 -p- -data-length 128 -T INSANE -sV -O -f oN ./rsultat.txt 192.168.0.0-
255
Wireshark : Outil d'coute de rseau
Nessus : Outil de balayage des vulnrabilits
Netcat : Permet de gnrer des connexions UDP et TCP
Snort : Permet de dtecter les intrusions
OpenSSH : Permet de se brancher d'autres ordinateurs sans mots de passe
OpenSSL : Protocole d'encapsulation scuritaire
John the Ripper : Attaque des mots de passe par force brute ou dictionnaires
VNC : Connexion distance facile et lgre
Iptables : Permet de tout bloquer
SpamAssasin : Anti-pourriel
ClamAv : Anti-virus gratuit
Firefox : Plug-ins qui font une partie du travail
Dig : Permet d'interroger un service DNS avanc
NsLookUp : Permet d'interroger un service DNS
Traceroute : Permet de dcouvrir des rseaux
Ping : Vrification de la prsence d'un systme
NbtStat : Affiche les statistiques du protocole NetBios
DBAN : Supprime les informations sur les disques
GPG : Permet le chiffrement
TrueCrypt : Permet le chiffrement du disque dur
NetStumbler : Permet de dtecter les rseaux sans-fils
RSSI, RM :
LES NOUVEAUX METIERS DE LA
SECURITE DES SYSTEMES
DINFORMATIONS
1 ROLE DU RSSI
Dans les faits, son rle va plus loin. En effet, il est charg de lvaluation et de la
gestion des risques lis au SI. Il assure dans ce contexte, une fonction transverse de
manager :
en rassemblant de nombreux contributeurs ( la communication, aux
ressources humaines, la stratgie, au juridique, au contrle interne,
laudit, etc.)
en dialoguant avec les directions mtier et la direction des systmes
dinformation sur les objectifs de scurit dfinir, les rfrentiels de
scurit appliquer, les parades mettre en place
en dfinissant les exigences attendues en matire de scurit.
4 DEVENIR RSSI
Une des grandes difficults du RSSI est de proposer des actions de rduction et de
contrle des risques en adquation avec les enjeux de lentreprise et
complmentaires aux solutions de financement des risques rsiduels envisageables.
En effet, pour tre efficace, la scurit des Si doit rpondre de manire
proportionne la couverture de chaque risque identifi et non-accept. De ce point
de vue, un travail commun avec le RM est ncessaire pour structurer la dmarche de
matrise des risques de faon ajuster en consquence, les montants garantir et si
En 2012, les attaques diriges contre les PME ont reprsent prs du tiers des
actions (31%) et le nombre des cyberattaques cibles a augment de 42 % dans le
monde, selon un rapport de la socit amricaine de scurit informatique
SYMANTEC.
Les attaques de plus en plus complexes et astucieuses, face une technologie
dynamique et des utilisateurs de plus en plus dpendants, soulignent dun double
trait la ncessit de proposer des stratgies globales et cohrentes.
En plus des menaces classiques de scurit informatique, le dveloppement de
lInternet embraqu et la virtualisation de linformatique ont rajout une couche de
difficult la mission des responsables de la scurit des systmes dinformation. A
lre du web 2.0 et de lInternet trs haut dbit, les challenges que doivent
affronter les professionnels de la scurit informatiques sont normes.
1 LE SOCIAL ENGINEERING
Le BYOD (bring your own device ou Apportez Votre Propre priphrique ) est
une pratique qui consiste pour lemploy utiliser ses quipements personnels
(Smartphone, ordinateurs portables, etc.) dans le cadre de la ralisation de ses tches
professionnelles. Cest une tendance gnralise dans le monde de lentreprise est
dautant plus accentue dans les PME, au sein desquelles plus de 65% des salaris
auraient recours en France.
Cette tendance est soutenue par les exigences de scurit auxquelles les
responsables de la scurit des systmes dinformations doivent faire face et les
exigences budgtaires y associes. En effet, on demande trs souvent aux DSI et
RSSI dassurer un niveau lev de scurit avec des moyens trs limits, ce qui a
pour effet de conduire ces responsables scurit se tourner vers de nouvelles
alternatives. Le BYOD assure indniablement une rduction des cots des
investissements en quipements et comporte bien dautres avantages, qui ne
sauraient pour autant occulter les risques normes de scurit y associs.
Le BYOD fait rfrence tout type dquipements physiques personnels
(Smartphone, tablettes, blackberry, etc.), mais aussi des services hbergs dans le
Cloud. Le BYOD, bien maitris et bien encadr peut permettre une rduction des
dpenses et une maximisation de la productivit et des revenus.
Les risques de scurit dans un systme de BYOD implment sans une stratgie
cohrente avec les objectifs de lentreprise, constitue un risque mortel pour
lentreprise.
Une fois de plus, la solution rside dans la mise en place dune stratgie concerte,
base sur le bon vouloir des employs dutiliser leurs quipements personnels dans
le respect des rgles dfinies et ladhsion totale la politique de scurit de
lentreprise.
Etape 2 : Le recadrage de sens qui permet, sur des sujets et/ou faits
identiques, de proposer une nouvelle interprtation, un sens nouveau.
Par exemple, il savre difficile de sensibiliser sur la scurit de
linformation au sein des entreprises car les comportements attendus
sont souvent interprts comme des freins, des contraintes. Une
action de sensibilisation sur les mmes sujets mais portant sur les
risques personnels quant la scurit des informations permettra de
fournir dautres types dinterprtations qui apporteront un sens nouveau
et des lments dacceptation de llan de sensibilisation.
1. Achats scuriss :
Les webmasters ou les personnes ayant crs la page web doivent disposer dun
cryptage scuris (du type https://www.nomdusite.ci) pour que des renifleurs ne
puissent pas obtenir eux aussi les donnes du client en train deffectuer une
transaction. Cette mention est trs importante quand il sagit dutiliser des sites o
Sauvegarder les donnes est capitale pour une entreprise, quelle que soit sa taille, du
moment o une information importante pour lentreprise est stocke dans son
systme dinformation. Les professionnel de la scurit sefforcent garantir un
niveau de scurit satisfaisant, mais il nest pas exclu que des failles (risques
logiques, risques physiques) puissent exister, susceptible dentrainer la perte des
donnes de lentreprise.
Effectuer des partitions dans votre disque dur et sauvegarder les donnes de votre
site web, par des mcanismes de backup. De plus, assurez-vous que vos donnes
soient uniquement en mode lecture sur le Net. La frquence des sauvegardes dpend
de la quantit de donnes que vous acceptez de perdre en cas de destruction de vos
donnes.
Prvoir des rgles de stockage physiques trs pointues, afin de conserver les
sauvegardes physiques (disk dur, Cd, ect.) loin des ordinateurs qui contiennent les
donnes originales.
Dans le cas de donnes chiffres, il faut galement penser sauvegarder les cls de
chiffrement, afin de pouvoir accder aux donnes sauvegardes.
Avec le dveloppement des TIC et le taux de pntration dInternet dans nos pays
Africains, limminence de lexplosion du commerce lectronique se fait
grandissante. Si vous effectuez des achats ou toute autre transaction par carte
bancaire, il faut sassurer que cette dernire na pas t vole ou falsifie, do la
ncessit de se procurer ces cartes auprs de fournisseurs agrs.
Vrifiez galement lauthenticit des sites sur lesquels vous effectuez des
transactions, en saisissant directement ladresse url du site dans la barre dadresse,
afin dviter les attaques par Phishing. Entre autres, ne divulguez jamais votre mot
de passe et conservez le jalousement, de sorte ntre que le seul zn avoir
connaissance.
Lentreprise doit laisser le choix aux clients de signaler clairement sils souhaitent
recevoir de faon priodique (chaque semaine ou mois) un catalogue de ses offres
ou toutes sortes de publicit. Car les spams, dans tous les autres pays dots dune
lgislation en la matire, sont illgaux et passibles de poursuites judiciaires. La
tendance en la matire dans les lgislations en cours en Cte dIvoire et dans les
pays dAfrique devrait suivre cette dynamique. Une des techniques anti-spam
consiste publier son adresse e-mail dans des fichiers images publis dans les pages
web. Ainsi les robots utiliss par certains spammeurs nindexeront pas votre adresse
lectronique, rduisant du coup les risques dtre spamm. Sinon des solutions
techniques spcifiques existent, tels que : SpamAssassin : anti-pourriel open
source, etc .
Cette stratgie peut sappliquer aux personnes qui nutilisent jamais les connexions
distance, et travaillent toujours sur le mme ordinateur fixe, dans le mme bureau.
Chaque ordinateur sera orn dune tiquette indiquant le matricule de la machine
(ce numro est celui que les salaris communiqueront au service informatique en
cas de dfaillance devant tre rsolue distance). Les administrateurs auront
pralablement interdit laccs aux proprits systme en mentionnant le nom de
lordinateur pour viter toute fuite dinformation.
Utiles pour les catgories demploys qui ont une utilisation assez basique des
ordinateurs (secrtaires, juristes, personnels non-techniques, etc.)
Cette stratgie peut sappliquer si les salaris nont pas dintrt utiliser une cl
USB, une disquette ou graver des CD-ROM. Cela dpend de leur dfinition de
fonction et de la nature des activits autorises au sein de lentreprise. Cette
technique est utilise dans la plupart des entreprises industrielles et de tlphonie,
o les ordinateurs sont tous mis en rseaux et interconnects entre eux. Ceci permet
de limiter voire rduire les risques de contagion virale via les priphriques
amovibles (USB, disquettes, etc.) et mme de prvenir les risques de fuites
dinformations, ou du moins den assurer une traabilit.
Les cookies sont un moyen simple et utile de conserver des informations propres
l'utilisateur de faon accessible. Toutefois, tant donn que les cookies sont envoys
l'ordinateur sur lequel s'excute le navigateur, ils sont vulnrables face
l'usurpation ou d'autres utilisations malveillantes (session Hi-Jacking, etc.). Au
moment de la ralisation dune transaction sur le web, trois types de menaces psent
sur les cookies.
i. Les menaces lies au rseau
ii. Les menaces lies aux extrmits du rseau
iii. Les menaces lies la collecte de cookies
Pour assurer une utilisation scurise des cookies, respectez les quelques rgles
numres suivantes :
i. Ne stockez aucune information sensible dans des cookies. Par exemple, ne
stockez jamais un mot de passe dans un cookie, mme de faon temporaire.
En rgle gnrale, ne stockez pas d'informations sensibles dans un cookie.
Conservez plutt une rfrence, dans le cookie, l'emplacement des
informations sur le serveur.
ii. Dfinissez des dlais d'expiration les plus courts possible pour les cookies.
Dans la mesure du possible, vitez toujours les cookies permanents.
iii. Envisagez de chiffrer les informations contenues dans les cookies, afin
doffrir une double couche de scurit vos cookies.
iv. Envisagez d'affecter true aux proprits Secure et HttpOnly sur vos cookies.
Le matriel de ce genre est livr avec un mot de passe par dfaut ou mot de passe
constructeur. La premire configuration raliser une fois lappareil install, est de
changer le mot de passe fourni par le fabricant en le remplaant par un mot de passe
complexe, sappuyant sur les techniques de cration de mot de passe robuste. Cette
manipulation empchera les hackers de profiter de ces failles des plus videntes,
mais trs souvent laisses par les administrateurs rseaux par ignorance ou
ngligence.
Les informations sensibles devront tre dtruites une fois que lon considrera
quelles sont devenues inutiles ou obsoltes ou que leur utilisation par dautres
personnes peut savrer dangereuse. Les supports physiques seront dmagntiss
puis dtruits par la suite. Il faut tout de mme tre trs mticuleux dans les
processus de destruction des informations sensibles ou de matriel, car dans certains
cas, lorsque vous croyez avoir dtruit vos donnes, ces dernires restent dans la
Base de registre. En effet, les donnes de votre disque dur peuvent toujours tre
rcupres selon certaines mthodes, mme quand votre disque dur est brl. Des
exemples palpables sont disponibles sur le site www.ontrack.fr .
Les donnes papier doivent se trouver dans des endroits verrouills et surveills par
vido pour viter quun fouineur malveillant ou indiscret ne puisse accder la
documentation confidentielle de lentreprise.
De nos jours, les connections stablissent sans fil et le Wi-Fi remplace le cble.
Dans ce cas, il est fortement recommand dinstaller un niveau de cryptage lev,
impliquant lutilisation doutils de cryptage de haut niveau, une configuration
optimale des matriels de routage. Seul le responsable de la scurit informatique
ou ladministrateur rseau doit connatre ce cryptage. Vous pouvez par exemple :
i. Changer le mot de passe utilisateur de votre routeur Wifi
ii. Changer et cacher le nom de votre rseau (SSID) la vue des utilisateurs
malintentionns
iii. Dsactiver la diffusion du nom SSID de votre rseau
iv. Activer le cryptage de votre rseau, en utilisant de prfrence une clef de
scurit de type WPA(Wifi Protect Access)
v. Activer un couplage adresse MAC-adresse IP des ordinateurs qui accdent
votre rseau
Il est impratif que le moniteur rseau, outil de surveillance, soit configur pour se
dclencher rgulirement afin de surveiller les entres et sorties dadresses IP, afin
de localiser ladresse IP dun ventuel intrus essayant dutiliser la force brute pour
pntrer dans votre systme. Il existe galement des moniteurs rseau pour les
installations sans fil.
1. CyberGhost : Un trafic illimit dans sa version gratuite, mais avec une bande
passante faible. Disponible en Franais.
2. Security Kiss : Un des VPN les plus populaires. Pour un accs des serveurs plus
rapides, il existe plusieurs offres payantes mais raisonnables. Disponible en Franais.
10. the Free VPN : Aucune restriction, mais page publicitaire qui s'ouvre sur chaque
page.
Les privilges sont accords au cas par cas et dpendent de nombreux facteurs.
Aussi, la demande daccs du niveau hirarchique doit tre la plus prcise possible,
afin dindiquer ladministrateur les accs donner ou interdire, les lecteurs ou
dossiers auxquels le salari devra avoir accs en fonction des tches qui lui
incombent.
Avant quune personne ne soit prte recevoir des appels provenant de lextrieur,
avant quelle ne soit en relation directe avec les clients, elle doit tre informe
quelle ne doit aucun moment divulguer de donnes personnelles, quelles quelles
soient, ni les rgles et procdures internes, ni le numro de lextension des lignes
tlphoniques, ni bien sr aucun mot de passe.
Les numros de lignes directes ne doivent pas tre communiqus, ni les adresses
email du personnel interne. Il doit exister un numro dappel unique, puis les appels
sont transmis aux intresss.
Pareil pour les e-mails : dabord une adresse gnrale est communique, puis la
transmission des emails aux intresss est effectue par un personnel bien form
aux stratgies de scurit.
Protger votre serveur tlphonique derrire un pare-feu trs puissant. De plus, tous
les mots de passe du fabricant doivent tre changs au moment de sa mise en
service.
Cette mthode permet de savoir sil sagit dun appel interne ou externe. Les
tlphones publics de lentreprise doivent galement tre identifiables.
Votre fournisseur daccs tlphonique peut vous permettre de suivre la trace des
appels mis et reus, afin de pouvoir identifier les appels suspects et de crer un
groupe spcifique grant les donnes de ce genre dincidents.
Faire attention ceux quon embauche ou avec qui lon traite en effectuant une
enqute pousse pour les prposs des postes sensibles de scurit. Il est de
Ne pas installer le serveur SQL sur le serveur IIS, car les pirates peuvent utiliser des
failles pour envoyer des commandes par le biais du Web. Si vous travaillez avec un
serveur SQL, il convient dliminer les utilitaires inutiles et utiliser des mots de
passe autres que les mots de passe par dfaut, afin dviter quun pirate ne
sintroduise dans votre systme distance au moyen de linvite de commandes,
xp_cmdshel"l par exemple.
Dsactiver le protocole ICMP, et/ou utiliser des dtecteurs dintrus de marques trs
connues.
Dsactiver les ports inutiliss dans le commutateur et sassurer que les autres soit
suffisamment scuriss afin de pouvoir empcher des attaques dempoisonnement
ARP, dinondation dadresses MAC ou les usurpations dadresses.
Mettre des restrictions en place afin que les utilisateurs ne puissent pas installer
des excutables tlchargs sur Internet. Ces mesures permettent de limiter les
risques dinstallations de logiciels malveillants sur le rseau de lentreprise.
Mais avec le dveloppement du BYOD (Bring your Own Device), la tche se
complexifie un peu plus. En effet, il faut arriver concilier les intrts des employs
et ceux de lemployeur en mettent en place des mcanismes adapts la culture, aux
objectifs et moyens de lentreprise.
Garder les informations sensibles, par exemple la configuration du DNS ou les listes
de partenaires commerciaux prives et scrtes et ne jamais les publier sur une page
publique.
Crer des filtres pour interdire les adresses IP et sites suspects, mettant un nombre
de requtes suprieur la normale (tenant compte des activits et du niveau de
privilge de lutilisateur). Ce type doutil, pouvant tre associ dautres outils de
gestion des vulnrabilits, permet de scanner chaque serveur en le testant partir
dun catalogue dvnements. Lun des plus connus sappelle Nessus. Cest un outil
gratuit de recherche de vulnrabilits pour les rseaux, disponible ladresse :
www.nessus.org .
Par prcaution, les administrateurs du rseau doivent tre avertis que cet outil, sil
est configur efficacement, peut gnrer des journaux dvnements volumineux
qui doivent tre analyss attentivement. Il est donc recommand de positionner
lIDS dans tout endroit o le trafic rseau venant de lextrieur est utilis avec des
VPNs. Il existe des outils plus performants qui bnficient gnralement dune mise
jour continue de la base de donnes des attaques : celle-ci regroupe toutes les
signatures des attaques rfrences. Deux "mthodes" sont utilises selon les outils :
une surveillance du systme et un signalement de toute action suspecte, ou la
comparaison de toutes les requtes au signalement des attaques les plus connues.
Crer des pages fictives afin denvoyer les connexions suspectes dans un trou noir.
Crer des honey pot ou pots de miel permet dattirer les pirates vers de
fausses cibles rendues volontairement vulnrables, afin dtudier les techniques
dattaques, identifier et pister les attaquants.
Les sites web doivent constamment effectuer des sauvegardes et changer les mots
de passe des gens qui se connectent frquemment. Ladministrateur devra donner
aux partenaires ou aux utilisateurs qui travaillent distance des mots de passe
temporaires que chaque utilisateur modifiera trs rgulirement.
Cette prcaution concerne plus les risques de spamming que de hacking. En effet,
les adresses e-mails qui ont les prfixes les plus courants sont les plus faciles
spammes automatiquement grce des outils gratuits disponibles sur le net (car ils
ont plus de chances d'exister). Il serait judicieux dviter de crer des adresses avec
les noms suivants: webmaster@, admin@ contact@, email@, mail@, info@,
sales@, support@, root@, www@, abuse@ news@,etc.
Une autre technique trs astucieuse consiste crer des images sous un format
reconnu (jpeg, jpg, etc.), qui contiendra lensemble des informations de contacts de
lentreprise. Cette technique permet dviter lindexation par les robots des moteurs
de recherche et autre logiciels de rcupration dadresse lectronique sur Internet.
Lorsque vous affichez une adresse e-mail sur votre site web, vous avez 2 solutions:
1) Crez un fichier image (gif, png, jpeg) avec votre adresse crite dessus. Ce
n'est pas du texte et les robots spammeurs ne le verront pas. Ils ne pourront
donc pas vous envoyer automatiquement du spam
2) Utilisez des solutions de cryptage de vos e-mails (PGP par exemple)
3) Cryptez votre adresse e-mail avec du JavaScript. De nombreux sites comme
celui-ci : www.aspirine.org, proposent des services en ligne de ce genre.
Pour les entreprises dotes de plus de moyens, dautres mthodes
encore plus pousses existent pour faire crypter les e-mails
C
Captcha Captcha est gnre avec des images
de manire alatoire, qui contient des
Forme de test dauthentification utilis codes saisir lidentique dans une
pour dterminer si un programme ou boite de dialogue. Une machine ne
un service en ligne vient d'une nature peut pas dcoder des lettres et des
humaine ou de l'utilisation d'une chiffres intentionnellement dforms.
machine. La principale forme de Cela permet de s'assurer que (par
E
Exploit : logiciel ou dun code malveillant qui
est utilis pour exploiter la faille de
Dans le langage de la scurit scurit dtecte. Lexploit na de
informatique, un exploit dsigne le valeur que tant que la vulnrabilit
moyen utilis pour tirer profit dune pour laquelle il est conu nest pas
vulnrabilit. Il peut sagir dun corrige.
K
Keylogging : Le keylogging ou utilisateur, denregistrer toutes les
enregistrement de frappes est une frappes qui sont effectues sur le
technique qui permet linsu dun clavier dun ordinateur ou de tout
L
Lettre la chaine : Logic Bomb :
E-mail dont le contenu vous incite Aussi connu sous le nom de Fork
faire suivre et partager un plus grand Bomb, il sagit dun programme
nombre de personnes. Cette technique rsidant sur un systme informatique
peut tre utilise pour vhiculer des qui une fois lanc, recherche une
malware ou encore rcuprer un grand condition ou un tat particulier du
dadresse lectronique de collgues, systme pour excuter une action
proches, etc. Ex : Ptitions, messages illicite une fois cette condition
de soutien, etc. trouve. Il permet de raliser une
action prcise si une condition dfinie
par son auteur est vrifie. Ex :
teindre lordinateur si la webcam est
allume
ou mimicking ou usurpation
Sniffer
Action malveillante qui consiste
Outil matriel ou logiciel dont lobjet utiliser dlibrment et sans
est de capturer les trames transitant autorisation de son propritaire une
sur le rseau. Ce genre de dispositif ressource informatique en lieu et place
est utilis afin de dintercepter les de la sienne. Cest le fait pour
informations sensibles qui circulent lattaquant dusurper lidentit
dans le rseau, sous formes de dun systme informatique, afin de se
Baptiste, Philippe Jean. La criminalit Informatique dans l'entreprise: les aspects techniques
et lgaux de la preuve.
. Le rle du RSSI.
dinformation, Direction centrale de la scurit des systmes. 2003. Expression des Besoins
et Identification des Objectifs de Scurit. 2003.
Hlne Bienfait; Cline Glineur; HAPSIS. La sensiblisation: Pourquoi, Pour qui, Comment?
Simon, Kevin Mitnick et William L. L'art de la supercherie. s.l. : ditions Campus Press.
CEH........................................................................ 73
Chevaux de Troie .................................................... 25 M
CI-CERT ....................................................... 9, 73, 120 mail bombing .......................................................... 26
D P
dadresses MAC .................................................... 121 pare-feu .............. 19, 32, 34, 49, 51, 109, 115, 118, 119
DDoS ................................................................ 21, 26 patches ........................................................... 109, 121
DMZ....................................................................... 19 Patches ................................................................. 121
DNS...................................................................... 122 PCDA ..................................................................... 37
DoS .................................................................. 21, 26 PCI/DSS ................................................................. 92
PGP ....................................................................... 124
E Phishing ................................................................ 106
GSEC ..................................................................... 73 RSSI .......... 72, 74, 75, 89, 90, 91, 92, 94, 95, 96, 97, 99
H S
hackers........................................................... 112, 113 Sarbanes-Oxley ....................................................... 30