Comment sécuriser le Système d'Information ?
Paradoxalement, la question de la sécurité du système d'information est encore aujourd'hui pour bien des entreprises le parent pauvre lorsqu'il s'agit de définir les enveloppes budgétaires.
Malgré la multiplication des menaces, malgré l'importance prise par le numérique et donc le SI dans le fonctionnement de l'entreprise, nombre de décideurs s'imaginent protégés par leur bonne étoile.
Le jour où celle-ci s'est inscrite aux abonnées absents, c'est la catastrophe. Pourtant, les solutions préventives existent. Il suffit de les mettre en oeuvre. Voyons comment...
Définition de la sécurité informatique
La notion de sécurité informatique couvre l'ensemble des moyens outils, techniques et méthodes pour garantir que seules les personnes ou autres systèmes autorisés interviennent sur le système et ont accès aux données, sensibles ou non.
Avec l'ouverture des systèmes informatiques sur l'extérieur et le rôle de support stratégique tenu désormais par ces derniers, la sécurité est un thème majeur bien trop rarement considéré à sa juste valeur.
Les menaces
Elles sont multiples. Avec l'extension de la cybercriminalité,
le responsable sécurité informatique doit agir pour prévenir les attaques du type espionnage, vol de données, sabotage, usurpation d'identité et assurer une protection efficace des biens numériques.
Les responsabilités
Une sécurité informatique pleinement assurée est aussi un gage de confiance autant pour les partenaires que pour les clients qui volontairement -ou involontairement- confient des données sensibles à l'entreprise. Personne n'est à l'abri.
Les sites de e-commerce pillés avec les vols de numéros de cartes bancaires, les sites d'emploi en ligne piratés, les informations personnelles des utilisateurs publiées en ligne, sans parler du vaste domaine de l'espionnage industriel, ne sont pas une légende, mais bien une réalité d'une économie désormais fondée sur les technologies de l'information.
La démarche de sécurisation du système d'information
Estimation des enjeux
Une démarche bien conduite de mise en sécurité du système informatique commence classiquement par
une estimation des enjeux. Puis, l'identification des risques potentiels est une étape fondamentale. Elle est absolument indispensable.
Il est totalement absurde de chercher à mettre en place des méthodes de prévention ou de protection sans avoir au préalable estimer exhaustivement les risques potentiels en terme de probabilité et de gravité.
Identification des solutions de prévention
Une fois les risques potentiels identifiés, quantifiés et qualifiés, il est alors temps de sélectionner les solutions de prévention en comparant le coût d'usage et le risque couvert.
Identification des solutions de détection
Puis, dérouler l'étape de détection avec l'identification exhaustive des moyens pour détecter le plus rapidement possible les attaques et intrusions.
Définition des plans de secours
Enfin, définition des plans secours de sécurité informatique. Comment revenir le plus rapidement possible à la situation précédent l'attaque.
PDCA
Une fois de plus la
Roue de Deming et le PDCA est le guide à suivre.
Plan
Planification de la démarche de mise en oeuvre d'un système de sécurité conforme aux besoins spécifiques du système d'information pris dans son contexte "entreprise", c'est à dire vue dans sa globalité en prenant en compte les échanges extérieures.
Do
Étape essentielle de déploiement des actions, mise en oeuvre des incontournables indicateurs de performance, seuls juges de paix de la qualité et de la justesse de la mise en oeuvre des plans préalablement prévus.
Check
Mise en oeuvre d'une logique d'audit, voir à ce sujet COBIT et ITIL.
Act
Prise en compte des résultats de l'audit, lancement des actions correctives.
Et on reboucle sur la première phase, c'est là le principe d'une démarche d'amélioration continue.
Certificats
Pour envoyer une message en toute sécurité, il suffit donc de demander à votre correspondant qu'il vous transmette sa clé publique. Ainsi vous pourrez coder le message. Lui seul pourra le décoder à l'aide de sa clé privée.
Encore faut-il que la clé publique soit bien celle du correspondant et non d'un usurpateur. Pour cela, un tiers de confiance délivre un certificat d'authenticité associé à la clé publique. Ce certificat garantit l'identité du détenteur. Il contient les coordonnées de son détenteur, la date de validité du certificat et la valeur des clés publiques associées.
Protocole SSL
SSL, Secure Sockets Layer, a été conçu par Nescape pour sécuriser les transactions sur Internet. Fondé sur un principe de chiffrement à double clé et échange de certificats, SSL garantit l'authenticité des correspondants, l'intégrité et la confidentialité des échanges. SSL est une brique fondamentale du commerce électronique. SSL a été rebaptisé TLS, Transport Layer Security, depuis qu'il a été repris par l'IETF (Internet Engineering Task Force).
Sécurité internet, les principales menaces, les protections
Pour sécuriser son site internet d'entreprise, il est essentiel de connaître dès à présent le sens propre des principaux concepts utilisés : les menaces et les protections. Les virus informatiques à la dangerosité variable côtoient les chevaux de Troie qui n'ont d'autres ambitions que de s'immiscer dans l'intimité du SI afin de capter les données les plus confidentielles... bien trop souvent faciles d'accès !
FireWall
Le FireWall, pare-feu, est un système électronique ou un logiciel chargé de protéger un ordinateur ou un réseau d'ordinateurs des tentatives d'accès extérieurs non autorisés. Le rôle du firewall est un peu plus complexe qu'il n'y paraît. Appliquer la politique de sécurité et établir une zone de confiance imposent un contrôle rigoureux des accès (contrôle des IP, filtrage de paquets, vérification de l'usage des ports...). Les tentatives pour tromper les protections sont en effet multiformes.
Si un Firewall bien paramétré assure un niveau de sécurité acceptable, chaque entreprise aussi petite soit-elle ne peut faire l'impasse d'un audit sécurité complet avant d'adopter les procédures de travail adéquates aux menaces et de choisir les équipements de protection opportuns.
Virus informatique
Un virus informatique est un programme malveillant de petite taille s'insérant dans des programmes sains. Il est capable de se reproduire et se propage d'un ordinateur à l'autre, d'un réseau à l'autre. Sa finalité n'est autre que la destruction de données ou l'endommagement de fichiers systèmes. Les virus diffèrent selon leur virulence et leur résistance à la détection.
Back Door
Une back door, ou porte dérobée, est un point d'entrée dans un système ou un ordinateur inconnu de ou des utilisateurs. Un poste distant et mal intentionné peut ainsi entrer dans le système et prélever des données ou prendre le contrôle sans que les utilisateurs ne s'en rendent compte.
Cheval de Troie
Le cheval de Troie ou Trojan Horse est un programme insignifiant en apparence qui attend son moment pour déclencher son attaque. Celle-ci peut être de communiquer les accès de l'ordinateur ou du système à un poste distant afin que celui-là puisse en prendre le contrôle.
Phishing
Phishing, ou hameçonnage, est une technique de tromperie afin de récupérer les codes d'accès privés d'un système. Vous recevez un email de votre banque vous annonçant que votre compte en ligne a été piraté et vous demandant de vous connecter rapidement afin de vérifier immédiatement les soldes. Ce message est un piège.
Vous serez dirigé vers un site factice afin que le fraudeur puisse récupérer vos accès. Le phishing est aussi utilisé pour forcer les accès aux systèmes d'information d'entreprises à des fins d'espionnage ou de sabotage.
Ressources web
- clusif.fr Club de la Sécurité de l'Information Français
- cdse.fr Club des Directeurs de Sécurité des Entreprises
- ANSSI Agence nationale de la sécurité des systèmes
d'information
- iso.org Norme ISO 27000 Information Security Management System ISMS
- icsalabs.com ICSA Labs International Computer Security Association
- openpgp.org L'implantation de OpenPGP (Pretty Good Privacy de Philip Zimmermann), Email encryption. For all operating systems.
- Les compétences cybersécurité précieuses mais parfois inadéquates
Le Monde Informatique. Sur le marché de l'emploi, les compétences en cybersécurité sont prisées à juste titre. Attention de ne pas aller trop vite et de bien se pencher sur les compétences essentielles. Bien des profils recrutés ne remplissent pas les conditions minimales pour assurer une telle responsabilité.
Présentation détaillée du livre "la transformation démocratique de l'entreprise"
L’auteur
Alain Fernandez a formé au cours de sa carrière un bon nombre de managers et de futurs entrepreneurs. Il est l'auteur de plusieurs livres d'autoformation publiés aux Éditions Eyrolles, vendus à plusieurs dizaines de milliers d'exemplaires et régulièrement réédités. Il offre sur le site www.piloter.org plusieurs ebooks gratuits.
À ce sujet, voir aussi
- ISO 27001 Système de Management de la sécurité de l'information
ISO 27001 SMSI Système de Management de la sécurité de l'Information. ISO 27001 est une norme d'origine britannique dédiée au système de management de la sécurité de l'information. L'ensemble ISO 27000 est décliné en plusieurs sous-normes indicées, thématiques et sectorielles.
- Le métier de Responsable Sécurité du Systèmes d'Information (RSSI)
RSSI Responsable Sécurité du Système d'Information : Rôle, métiers et fonctions, prévention et amélioration continue. Le Responsable de la Sécurité des Systèmes d'Information, le RSSI (Chief Information Security Officer, CISO) détient désormais un rôle de première importance. Le fonctionnement de l'entreprise intégrée est totalement dépendant...
- Gestion des risques et sécurité du projet
La gestion des risques bien conduite se complète d'une gestion de la sécurité : confidentialité & intégrité. Au cours de la réalisation d'un projet, une multitude de documents circulent. Des documents courants dont la divulgation ne prête pas à conséquence, mais aussi des documents plus confidentiels destinés à un nombre de destinataires restreint et bien identifiés. Exemple pratique...
À lire...
Un ouvrage particulièrement complet pour bien saisir le Système d'Information de l'entreprise dans toute sa complexité...
Management des systèmes d'information
Kenneth Laudon, Jane Laudon
Pearson
16ème édition 2020
636 pages
Dispo :
www.amazon.fr & Format Kindle
Une bonne introduction sur les techniques du hacking (ouvrage en anglais)...
Techniques de hacking
Jon Erickson
Pearson Education Campus Press
2ème édition octobre 2017
500 pages
Dispo :
www.amazon.fr
Piloter, c'est partager le pouvoir, le livre de référence du site...
Les tableaux de bord du manager innovant
Une démarche en 7 étapes pour faciliter la prise de décision en équipe
Alain Fernandez
Éditeur : Eyrolles
Pages : 320 pages
☛ Consultez la fiche technique »»»
Pour acheter ce livre :
Format ebook : PDF & ePub,
Format Kindle
Voir aussi...
Partagez cet article...
(total partages cumulés > 105)