| >>
Comment mieux protéger ses systèmes informatiques
? |
|
|
|
Le taux d'infection
des machines par les virus a bondi de 14 % en 2001 à plus
de 26 % l'an dernier en France. Il suffit d'ouvrir sa messagerie
pour prévoir que ce chiffre sera encore très élevé
cette année. Depuis le début de l'été,
plusieurs vagues de ces programmes destructeurs, "virus",
"vers" et autres "chevaux de Troie", affectent
les ordinateurs du monde entier. Des offensives répétées
qui ont pu entraîner le blocage immédiat des machines
et la perte de données stratégiques pour les entreprises.
De plus en plus, le système d'information s'évalue
non pas uniquement en termes de budget et de coût, mais
également en termes de valeur. Il gère des données
de nature et d'utilité très différentes :
informations financières, stratégiques, résultats
de la R&D, données sur les clients, le personnel etc.
Leur perte, leur altération ou leur divulgation est donc
susceptible de causer un dommage important soit à l'entreprise
elle-même (dégradation d'image, perte financière),
soit à des tiers, personnes physiques ou morales (données
sensibles sur les clients et fournisseurs, information confidentielle
d'un partenaire commercial ou de R&D par exemple). "En
sécurité informatique, comme dans le domaine de
la santé, il vaut mieux prévenir que guérir
: c'est une question de coûts, voire de survie de l'entreprise",
alerte Yannick Bouchet, responsable du Clusir Rhône-Alpes
(Club de la sécurité des systèmes d'information
régional).
|
Yannick Bouchet,
directeur du Clusir
Rhône-Alpes :
"En matière de sécurité informatique,
il vaut mieux prévenir que guérir. C'est une question
de coûts, voire de survie pour l'entreprise."
|
 |
|
L'antivirus
: nécessaire mais pas suffisant. S'il est impossible
de recenser de manière exhaustive les menaces qui pèsent
sur les systèmes, les vagues répétées
de virus ont rappelé le premier danger des entreprises
connectées. "La bonne chose, c'est que ces attaques
virales ont fait prendre conscience à tous les dirigeants
de la nécessité de se protéger un minimum",
note Nicolas Dutertre, de la société Artinfor (CA
: 1,5 ME, 4 salairés), à Grenoble. Encore faut-il
savoir utiliser le logiciel de protection associé. L'antivirus
est un bon outil pour détecter ce qu'il connaît,
d'après une base de données fixée. Mais on
oublie trop souvent qu'avec une dizaine de nouveaux virus, vers
et chevaux de Troie écrits tous les jours, son efficacité
n'est que relative. "L'antivirus reste un outil de détection
éventuelle, mais certainement pas une solution de sécurité
en soi. Lorsqu'une faille est découverte, le bon réflexe
n'est pas seulement de mettre à jour son antivirus, mais
surtout d'installer un correctif pour cette faille", détaille
ainsi Philippe Mamy, directeur général de RFI Informatique
(CA : 7,2 ME), à Seyssinet-Pariset. En effet, la faille
permet non seulement de propager un ver, mais aussi et surtout
d'introduire toute une série de programmes concurrents
pour voler ou détruire des données à distance.
Si la messagerie reste la première source de virus, le
téléchargement d'utilitaires exécutables
sur Internet représente aussi un danger de contamination.
Un firewall, ou pare-feu, peut alors limiter la bande passante
au strict transfert de données courantes. Sans faire de
son ordinateur un bunker piégé, le blindage de l'accès
doit être suffisamment fort pour décourager les intrusions.
C'est le sens des efforts de recherche de la société
de services en gestion d'interconnexion Netcelo, à Grenoble,
dont la nouvelle offre VPN IPSEC concentre en un seul point toutes
les fonctions réseau et sécurité. "Sachant
que le risque zéro n'existe pas : on a beau mettre des
cadenas partout, il demeure toujours des trous de serrure",
tempère Nicolas Dutertre.
|
|
|
La mobilité : un frein à la sécurité
? Ces trous se multiplient encore avec l'évolution
technologique. Les liaisons ADSL, par exemple, fixent l'adresse
IP de l'ordinateur, qui devient alors plus facile à
repérer. "Le monde informatique s'ouvre de plus
en plus, il est plus abordable par tout un chacun et requiert
donc une sécurité accrue", alerte Didier
Hoffmann, directeur des services et du développement
au sein de Amec Spie DCCS (CA : 4,5 ME), à Grenoble.
Ordinateurs portables, connexions à distance, télétravail
et technologie sans fil multiplient aussi les risques. Et
alors que les offres wi-fi se démocratisent, les
normes de sécurité peinent à suivre
le rythme de l'innovation. Didier Hoffmann rappelle les
menaces liées à ces réseaux sans fil
: "Facile à mettre en œuvre, d'un faible
coût, le wi-fi ou le Bluetooth ne garantit pas une
connexion maîtrisée : il est plus facile de
s'infiltrer dans un réseau sans fil que dans un réseau
physique, et en plus le malveillant ne laisse aucune trace."
La norme 802.11b, utilisée dans le wi-fi de première
génération, n'est pas prévue pour un
usage sécurisé et confidentiel. Et les clés
de cryptage à 64 bits se sont vite révélées
vulnérables. "Les modules de chiffrement proposent
aujourd'hui du 128 bits, assez sûr, mais jusqu'à
quand ?" s'interroge Didier Hoffmann. Le Clusif préconise
l'usage d'un firewall entre le réseau sans fil et
le réseau local classique. Et recommande de suivre
le cadre légal lié à ces réseaux,
auprès de l'Autorité de régulation
des télécommunications (ART). Ce cadre évolue
constamment : "A ce jour, il n'existe pas encore de
jurisprudence concernant l'application des règles
de déploiement ou les actions malveillantes réalisées
sur le sans-fil", conclut Yannick Bouchet.
|
Pour
Nicolas Dutertre, cogérant de Artinfor,
"la centralisation des systèmes et le passage
au noyau Linux sont deux étapes essentielles pour la
sécurisation de l'informatique des entreprises". |
| |
| |
|
Des solutions fiables. A chaque taille d'entreprise,
sa protection. La solution a minima des PME-PMI peut consister
à insérer une messagerie intermédiaire
entre le fournisseur d'accès et le réseau
interne : une sorte de passerelle qui filtrera les virus,
mais aussi ces fameux spams, ou messages non sollicités
d'origine souvent publicitaire. L'offreur de solutions RFI
Informatique protège lui-même ses quatre sites
interconnectés, à l'aide de pare-feux et systèmes
de détection d'attaques qu'il a conçus. "Nous
rejetons plus d'une centaine de messages par jour, suspects
ou inutiles", note Philippe Mamy, qui considère
le spam comme une véritable violation de l'outil
informatique, mais aussi un facteur de baisse de la productivité,
dans la mesure où il encombre la messagerie.
|
|
|
Autre
enjeu négligé : la sauvegarde des données.
Les systèmes DAT sont assez fiables, mais à
l'usage, une bande peut devenir illisible à force
de tourner. Ils imposent aussi une discipline stricte à
l'ensemble du personnel : il faut prendre le soin de changer
la cartouche régulièrement. Plus sûrs,
mais réservés aux grandes entreprises en raison
de leur coût, des systèmes redondants en miroir
permettent d'éviter la perte de données sur
un disque défaillant. Enfin, la centralisation des
systèmes de l'entreprise éludera le problème
des bidouillages sans contrôle, autant qu'elle facilitera
la maintenance. C'est du moins la conviction d'Artinfor,
qui voit dans la reconcentration des moyens informatiques
l'assurance d'une plus grande protection. La société
grenobloise préconise aussi le noyau système
Linux. Yannick Bouchet le reconnaît : "Après
des années de défiance, les entreprises commencent
enfin à adopter Linux. On sait qu'il est plus stable
que Windows, notamment au niveau de la messagerie."
Autre avantage : sa résistance aux virus, car on
ne lui connaît guère de failles. "Le problème
avec Linux, c'est que les entreprises reconnaissent aujourd'hui
sa fiabilité supérieure, sans pouvoir franchir
encore le pas. Les dirigeants ont encore peur de changer
leurs habitudes et toute la panoplie des logiciels qui vont
avec", analyse Nicolas Dutertre.
Plutôt que de subir la contrainte des changements
perpétuels, certaines entreprises ont préféré
confier tout ou partie de leur système d'information.
Des sociétés s'y emploient, traitant par exemple
elles-mêmes les données administratives, telle
que la gestion des paies. C'est le cas de RFI Informatique,
qui va jusqu'à proposer la location de matériel
: "L'externalisation peut profiter au personnel technique
comme à la direction de l'entreprise car elle permet
de rester à la pointe des techniques de gestion du
risque et des solutions, pesantes pour la plupart des structures",
explique Philippe Mamy.
|
|
|
En interne aussi. Une stratégie de protection
ne saurait cependant se limiter à regarder
vers l'extérieur. "La fraude vient majoritairement
de l'intérieur de l'entreprise, non pas du
dehors", avance encore Philippe Mamy. D'où
la nécessaire mise en place de droits d'accès.
Car le danger le plus sérieux pour les ressources
stratégiques des grandes entreprises serait
le fait "d'espions" infiltrés et
ayant un accès trop facile aux postes utilisateurs,
souvent mal protégés par un simple mot
de passe. Une gestion rigoureuse du système
d'information nécessite donc non seulement
de se munir d'outils contre les attaques externes,
mais aussi de mettre en place une administration stricte
et sécurisée des postes de travail,
de contrôler les flux entrants et sortants,
et de maîtriser les relations avec les prestataires.
Contre les risques liés à une utilisation
abusive des messageries, certaines sociétés
ont mis en place des chartes relatives à leur
système d'information.
C'est le cas de Rossignol, qui a ainsi réussi
à sensibiliser le personnel, via son intranet,
en diffusant la description précise du système
et des précautions à prendre en conséquence.
"Le danger final, c'est d'assimiler l'informatique
professionnelle et familiale : on a tous l'image d'une
informatique facile, maintenant que les PC sont dans
tous les foyers. Pourtant, dans l'entreprise, les
risques et les conditions d'utilisation ne sont pas
les mêmes !" conclut Nicolas Dutertre.
|
Philippe
Mamy,
directeur de RFI Informatique : "Dans un environnement
où
les menaces évoluent constamment, l'externalisation
permet à l'entreprise de rester à la pointe
des techniques
de protection. |
| |
|
|
|
Pour une vraie politique de sécurité.
Tous ces gestes de protection ne sauraient pourtant
être efficaces sans leur articulation ordonnée
et méthodique. "Il ne faut oublier aucune
couche : les aspects méthodologiques sont indissociables
de la technologie et de l'information si l'on veut
s'assurer une sécurité maximale",
insiste Yannick Bouchet. "On ne peut pas tout
résoudre avec la technologie", acquiesce
de son côté Serge Rigori. Chaque entreprise
doit selon lui mettre en place une police de gestion
d'incident. Par exemple, en cas d'attaque de virus,
elle doit être capable de communiquer convenablement,
aussi bien en interne qu'envers ses clients. Surtout,
une politique de la sécurité informatique
de l'entreprise ne peut rester figée dans une
vision immuable. Il y a nécessité de
l'adapter en permanence aux évolutions de l'environnement
: nouvelles vulnérabilités, progrès
techniques d'attaques etc. Pour optimiser cette politique,
il faut analyser périodiquement l'écart
entre l'état réel de la sécurité
et les objectifs que l'on s'est fixés. Un pilotage
efficace consiste à vérifier et à
réduire cet écart
dans un tableau de bord. Différents modèles
de ces check-boards sont téléchargeables
sur le site www.clusif.asso.fr.
|
"La
mobilité et le sans-fil ouvrent la porte à
de nouvelles agressions", alerte
Didier Hoffmann, directeur des services et du développement
de Amec Spie DCCS.
|
| La
sécurité des systèmes d'information
a longtemps consisté à détecter
des failles pour mettre en évidence des risques
et décider des mesures les plus appropriées.
Les méthodes de management de la sécurité
des années 1990 ont été basées
sur ce principe. MARION, ainsi que des référentiels
tels que le BS 7799 (ISO 17799) ou le IT Baseline Protection
Manual font partie de ces méthodes, fondamentalement
basées sur la réduction des vulnérabilités.
"L'ouverture des réseaux et le travail coopératif
entre partenaires, clients et fournisseurs, a modifié
cette vision. L'appréciation des risques dépend
désormais de la vision de la direction générale
face à ses objectifs stratégiques, non
plus du management des risques", expose Yannick
Bouchet. La méthode MEHARI (Méthode harmonisée
d'analyse de risques), développée par
la commission Méthodes du Clusir, permet de concilier
les objectifs stratégiques et les nouveaux modes
de fonctionnement de l'entreprise avec une politique
de maintien des risques à un niveau librement
fixé. Toute la stratégie consistera alors
à rechercher un équilibre entre les dangers
et les atouts d'une ouverture de l'entreprise.
|
|
|
Risques
en chaîne. Cette responsabilité croissante
du dirigeant va de pair avec une évidente prise
de conscience : la recherche de nouveaux vecteurs
de croissance doit amener l'entreprise à se
protéger d'éventuelles baisses de productivité.
Devenue valeur sous l'effet des machines qui la traitent,
l'information est soumise à une traque sans
merci. Toutes les parties impliquées dans la
sécurité de l'information s'accordent
pour reconnaître que les risques de délits
informatiques sont aujourd'hui plus sérieux
que jamais. Cette situation est due à la convergence
de plusieurs tendances. Dans la mesure où celles-ci
devraient se poursuivre à l'avenir, les entreprises
s'en trouveront encore plus menacées. Directement,
le ver Blaster de l'été dernier a détruit
les fonctionnalités courantes de 5 à
10 % des ordinateurs dans le monde. "Autant de
machines par lesquelles il n'est plus possible d'acheter
via le Net. Et toutes ces personnes ne vont pas forcément
s'en rendre compte, ni même agir en conséquence",
s'inquiète Jean-Marc Potdevin, vice président
R&D de Kelkoo (CA : 15,5 ME), à Echirolles.
Le plus angoissant reste la destruction d'Internet
au niveau mondial. "On peut imaginer qu'un groupe
terroriste décide de réduire le réseau
à néant, ajoute Yannick Bouchet. Ce
n'est pas de la science-fiction, quand on voit jusqu'où
l'idéologie peut mener. Les grandes entreprises
s'en sortiraient peut-être au prix de multiples
efforts de reconstruction, mais certainement pas les
plus petites." Avec le spectre d'un ébranlement
généralisé d'Internet, l'inégalité
des entreprises face à la sécurité
informatique n'en devient que plus flagrante.
|
|
|
|
|
|
|
|
