Articles IT et Télécoms

Sécurité du système d’information : vue d’ensemble des principales mesures permettant de protéger l’entreprise

Toute atteinte au système d’information est potentiellement porteuse de graves conséquences. Chaque entreprise se doit de se protéger efficacement en mettant en œuvre un ensemble de mesures dont nous rappelons ici les principales.

 

Les systèmes d’information sont constitués de deux parties : la partie matérielle (le hardware) et la partie information (le software). Celle-ci comprend des informations « traitantes » (le système d’exploitation et les logiciels rassemblés sous le vocable de software) et l’information « traitée ».

Si la protection du matériel est relativement aisée – un contrôle d’accès physique suffit dans la plupart des cas – celle des données, qu’elles soient traitantes ou traitées, est beaucoup plus délicate.

La sécurité de l’information repose sur trois piliers fondamentaux :

  • la confidentialité : les informations ne doivent être accessibles qu’aux seules personnes autorisées ou habilitées.
  • l’intégrité : les données (un fichier système par exemple) ne doivent être modifiées que par une action légitime et volontaire.
  • la disponibilité : le système doit répondre aux sollicitations des utilisateurs autorisés (accès aux informations, action particulière…) dans un délai imparti, propre à chaque application et/ou système.

Une des principales missions des responsables du SI consiste à définir et à appliquer une politique de sécurité préservant ces trois piliers. Cet objectif repose sur la mise en place des dispositifs essentiels présentés ci-après et sur la réalisation d’audits permettant de mettre en évidence des lacunes dans la définition ou l’application de la politique de sécurité.

Les dispositifs essentiels

Ils sont au nombre de quatre : la sécurité des informations à caractère personnel, la mise à jour de l’ensemble du système d’information, la formation des salariés et enfin la mise en œuvre d’un garde-fou au niveau du réseau.

La protection des données personnelles

Début 2012, la Commission européenne a manifesté sa volonté de renforcer la protection des données personnelles en imposant différentes contraintes réglementaires aux entreprises et administrations. Les sociétés stockent et échangent de plus en plus d’informations privées qui doivent être protégées. La France dispose depuis 1978 d’un cadre juridique et législatif dédié à la protection des données à caractère personnel avec les Lois de 1978 et de 2004 et la Directive européenne de 1995. La Commission européenne a décidé d’obliger les entreprises à notifier les fuites de données.

En France, le législateur va s’appuyer sur l’article 34 bis de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il précise notamment qu’en « cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés ». Cet article ne s’applique pour l’instant qu’aux opérateurs de télécommunications. Mais la volonté européenne pourrait toucher à terme d’autres secteurs. En attendant, cette volonté devrait inciter les entreprises à renforcer la sécurité des données personnelles qu’elles conservent. Elles seront d’autant plus encouragées à le faire que la CNIL a annoncé récemment une augmentation des contrôles à la recherche de failles de sécurité dans les entreprises…

Un réseau et un parc à jour

Sans une veille technologique permanente et conséquente, la sécurité d’un système d’information est très vite sujette à caution. La simple hygiène logicielle (recherche et applications des correctifs) requiert un temps non négligeable. Les responsables informatiques et les DSI doivent donc disposer de suffisamment de temps pour mener à bien cette veille et assurer que toutes les mises à jour soient bien effectuées sur l’ensemble des systèmes.

La formation du personnel

L’installation d’antivirus et de différents logiciels de sécurité ne sert à rien si les employés commettent des erreurs, volontaires ou non. Quel que soit leur niveau dans la hiérarchie, les salariés doivent être régulièrement formés sur la sécurité informatique afin d’éviter qu’ils tombent dans des pièges grossiers mais efficaces : éviter de cliquer sur les pièces jointes à un message envoyé par un correspondant suspect, ne pas insérer dans l’ordinateur une clé USB trouvée par hasard devant son entreprise. Plusieurs tests menés par des experts ont démontré que la tentation était grande de connecter la clé pour y découvrir son contenu; une aubaine pour les pirates qui peuvent ainsi infecter un poste de travail et ensuite infiltrer le réseau…

Le déploiement de garde-fous

L’utilisation d’un pare-feu est nécessaire pour assurer la protection au niveau du protocole TCP/IP, en filtrant ce dernier, mais il ne prend pas en compte les autres protocoles et services. Pour cela, il faut ajouter de nouveaux éléments et notamment un serveur proxy, que l’on peut considérer comme un pare-feu applicatif. Il va par exemple assurer les fonctions de cache de pages web, le filtrage des URL (protocole HTTP), gérer les authentifications des salariés… En gros, ce proxy va jouer le rôle de relais entre l’utilisateur (le client) et le serveur sollicité. Il va en particulier effectuer certains contrôles, le plus courant étant celui des requêtes web.

Les tests

Les responsables chargés d’assurer la sécurité d’un système d’information disposent d’une gamme d’outils variés pour identifier les faiblesses potentielles. Parmi ceux-ci, les tests d’intrusion sont utilisés de manière à relever les vulnérabilités purement techniques (mauvaise configuration, erreurs de développement, non-application des correctifs…).

Certaines de ces faiblesses sont certes identifiables par d’autres types d’audits (entretiens, analyse de documentations, audits de configuration…), mais leur détection est souvent coûteuse en temps et en ressources. Ce qui est moins le cas des tests d’intrusion techniques. De plus, ils offrent la possibilité de dérouler des scénarii d’attaques explicites aboutissant à des résultats marquants : accès à la messagerie de n’importe quel employé de l’entreprise, à des données stratégiques, à des informations concernant les ressources humaines, à des contrats partenaires… Ce type d’illustration marque plus facilement les esprits des acteurs de la sécurité du système d’information (décideurs, exploitants et utilisateurs) et de tels résultats peuvent servir aux responsables dans leurs missions de sensibilisation.

Ces différents mécanismes et mesures permettent de bénéficier d’un système d’information protégé, même si une protection à 100 % n’existe pas. Mais quels que soient les moyens humains et financiers mis en place, ils ne peuvent être efficaces que si l’entreprise dispose d’une politique cohérente, régulièrement mise à jour pour prendre en compte les développements dans le domaine de la sécurité.

Publicités

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :