Conclusion du projet sur les plans de sécurité informatique

Depuis le 24 Octobre 2012, nous avons tenté de vous présenter et d’analyser les plans de sécurité informatique dans le cadre de ce projet de veille technologique, en essayant de rendre le sujet plus attrayant et plus intéressant que les documentation technique qui y sont liées.

Après avoir redéfini ce qu’on entend par sécurité informatique puis avoir étudié les types de failles informatiques ou physiques auxquelles on s’intéresse dans le cadre de la mise en place ou l’actualisation de plans de sécurité informatique, nous vous avons présenté la norme ISO 17799 - une norme européenne établissant des lignes directrices et des principes généraux pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l’information au sein d’un organisme et qui est à la base des plans de sécurité informatique – et présenté de manière formelle les méthodes d’audits EBIOS (Expression des besoins et identification des objectifs de sécurité) et MEHARI (Méthode harmonisée d’analyse des risques), en les comparant succinctement. Ces deux méthodes sont les références de l’audit de sécurité informatique en France, bien qu’ayant de la concurrence à laquelle il serait possible de s’intéresser un peu plus longuement.

Pour approfondir notre étude de ces deux méthodes et nous mettre à la place des ingénieurs sécurité qui réalisent ces audits, nous vous avons ensuite présenté respectivement l’outil d’audit EBIOS et l’outil d’audit MEHARI, formés respectivement d’un programme complet permettant un audit pas à pas et, pour MEHARI, d’une feuille de calcul excel complexe guidée par une documentation annexe.

Enfin, pour remettre notre étude dans son contexte réel, nous avons trouvé intéressant de vous présenter deux cas de piratage qui sont restés dans les annales - le piratage du PlayStation Network et de Heartland Payment Systems – car ils ont eu des conséquences catastrophiques pour les entreprises ciblées par ces attaques.

Ainsi, pour conclure notre projet par ce dernier billet, nous avons voulu vous donner un aperçu des “Best Practices” en matière de sécurité informatique, ou du moins les bases de la sécurité :

1 ) Quels sont les éléments les plus importants de votre système informatique ?

En effet, pour avoir un concept de sécurité intéressant, il est nécessaire de savoir quels systèmes doivent être protégés en priorité, ceux dont lesquels dépendent directement votre activité (si l’immobilisation du système immobilise l’entreprise) et quels systèmes auxiliaires y sont liés.

2 ) Protéger le réseau de l’entreprise :

Même si les systèmes informatiques de l’entreprise sont protégés individuellement, il est cependant souvent nécessaire de paramétrer le pare-feu (Firewall) afin de permettre de manière sécurisée l’accès aux données de l’entreprise aux collaborateurs de terrain, de façon fiable et rapide sans pour autant affaiblir la sécurité du système. Il s’agit donc de trouver un compromis entre la possibilité d’accès au données de l’entreprise de façon distante et de garder cet accès totalement sécurisé, comme un “réseau étendu” de l’entreprise.

3 ) Ne pas se limiter aux serveurs “primordiaux” !

Bien qu’il soit important de connaitre les points névralgiques de votre système/réseau informatique, il ne faut pas se limiter à sécuriser les points les plus importants. Les serveurs communiquant entre eux, ils doivent notamment TOUS être incorporés au concept de sécurité. Ainsi, si un malware infecte une machine, il peut ensuite se propager dans tout le réseau de l’entreprise, parfois y compris jusqu’aux points stratégiques de votre installation.

4 ) Prendre toutes les plateformes et tous les périphériques en compte :

Une idée reçue veut que seuls les systèmes Windows soient vulnérables aux attaques informatiques. FAUX ! Toutes les plates-formes (Linux, Mac, Mobile, …) doivent inclus dans votre concept de sécurité. De la même façon, avec l’importance toujours plus grande du sans-fil, les smartphones et les PC portables deviennent la majorité des machines utilisées et sont souvent moins sécurisés.

5 ) Quelles protections utiliser ?

La configuration minimale comprend au minimum un scanner de virus pour Windows, mais aussi pour Linux et Mac OS X, le cas échéant, un pare-feu bien paramétré, un scan en temps réel des fichiers de clés USB et des mails et des accès contrôlés pour les mobiles ou les smartphones. De plus, un système de remise à zéro des informations du téléphone en cas de vol ou de perte du mobile est en général mis en place, ainsi que la nécessité d’un code de déverrouillage sur le téléphone. Une autre fonction précieuse en matière de sécurité est le blocage des informations personnelles de l’abonné en cas de vol du smartphone et de retrait de la carte SIM. Il est aussi extrêmement important de tenir les logiciels à jour, ce qui est malheureusement trop souvent oublié.

6 ) Centraliser l’administration :

Le concept de sécurité informatique se doit de prendre en compte tous les appareils et tous les serveurs et ces derniers doivent fonctionner ensemble. Il est donc très important que la protection de chacun soit gérée ou mise en place par une équipe s’occupant de tous les aspects de la sécurité informatique de votre entreprise. Un outil de suivi comportant une fonction de reporting est aussi nécessaire dès qu’il s’agit de gérer des parcs de machines conséquents.

7 ) Être préparé à réagir dans l’urgence :

En complément d’une stratégie de sécurité adaptée, un plan d’action d’urgence est nécessaire. Par une analyse des risques et des scénarios (comme cela est intégré aux démarches d’audit de sécurité sus-citées), on peut se préparer aux cas les plus probables d’attaque ou de défaillance du système.

Par exemple : En cas de soupçons justifiés d’un vol de données passé ou en cours dans l’entreprise, vous pouvez prendre les mesures suivantes :

•           Informer la direction.
•           Ne faire part à personne d’autre de vos soupçons.
•           Contacter un professionnel des enquêtes informatiques.
•           Ne tenter en aucun cas de mener votre propre enquête.
•           Dresser la liste de tous les systèmes susceptibles d’être concernés.

8 ) Tester le plan d’action d’urgence et la stratégie de sécurité :

Bien entendu, il est toujours préférable et prévu que ces situations d’urgence ne se produisent pas. Mais tout comme un exercice anti-incendie, votre plan d’action d’urgence informatique doit être testé, les employés doivent être formés et il est mieux qu’une simulation ait lieu tous les six mois. L’évolution des menaces et la découvertes des failles étant toujours plus rapide, il est important que votre plan de sécurité soit dynamique et très régulièrement mis à jour.

Pour conclure, un système informatique est toujours faillible, car créé par l’Homme. Le principal est que la/les faille(s) soi(en)t inconnue(s) de tous, ou ne vaille pas la peine d’être exploitée. De la même façon, il est toujours possible que votre système soit perverti. Il est donc d’un extrême importance de penser à sauvegarder régulièrement et dans différents endroits les données sensibles ou stratégiques. “Mieux vaut prévenir que guérir”, mais Mieux vaut aussi guérir que mourir : de l’utilité de se préparer toujours au pire.

Nous remercions tous les lecteurs de nos articles et espérons que nos différents billets vous auront intéressés et/ou aidés. Nous mettrons bientôt à disposition un rapport plus structuré sur nos recherches grâce au plan suivant :

  • Introduction au sujet de la sécurité informatique
    • Quels enjeux et quels risques ?
    • Quelles conséquences ?
  • Les plans de sécurité informatique
    • Origine & concept
    • La Norme ISO 17799
  • Quels outils pour les plans de sécurité informatique ?
    • Les méthodes d’audits
    • Les outils des méthodes d’audits
Pour télécharger le rapport, c’est ici : pvte12_rapport_secui2012 !

SOURCES :

http://www.ansi.tn/fr/audit/methodologies_audit.html
http://www.bestpractices-si.fr

Licence Creative Commons
Plans de sécurité informatique de Jean-Baptiste CLAVEL et Adrien THIERY est mis à disposition selon les termes de la licence Creative Commons Attribution 3.0 non transposé.

Synthèse sur les réseaux

Ce projet de veille technologique portant sur les protocoles de transmission sans-fil aura été l’occasion, à la fois pour nous-mêmes en tant qu’auteur et pour vous lecteurs (du moins nous l’espérons) de démystifier certains aspects liés aux technologies sans fil. Dès le départ, nous avons choisi d’articuler notre présentation en partant du plus général dans un premier article, où nous avons décidé de passer en revue les différentes technologies sans fil utilisées dans les médiums d’information connus telles la radio, télévision et satellite. Le cas des technologies mobiles, utilisant le réseau mobile, a ensuite été traité dans notre second article, explicitant notamment le GSM et les concepts 2G/2.5G/3G/4G. Devant l’extrême popularité du Wi-fi, nous avons dédié nos troisième et quatrième articles à la présentation (normes, sécurité, architectures envisageables) puis l’approfondissement (lien Wi-fi et modèle OSI, étude de trames) de cette technologie, en faisant notamment le point sur les notions de protocoles associés et modes de mise en réseau. Dans notre dernier article, nous avons jugé qu’il était intéressant, pour ouvrir de nouvelles perspectives, d’évoquer les évolutions potentielles vers lesquelles les liaisons sans-fil pourraient converger d’ici les prochaines années. Nul doute que parmi les solutions présentées, certaines pourront trouver leur place moyennant un certain investissement de la part des acteurs technologiques et industriels principaux, et s’intégreront dans une logique plus globale (dont les contours restent à définir). Il sera notamment intéressant, dans une optique d’approfondissement, d’étudier le devenir du monde IP qui reste en lien étroit avec toutes les notions présentées au cours de cette veille.

Fidèles à notre plan initial, nous avons choisi de nous conformer aux points successivement abordés afin d’établir notre structure finale :

    1. Médiums de communication sans-fil
      • La radio
      • La télévision analogique et numérique
      • Les systèmes satellitaires
        • protocoles de la boucle satellite
        • gestion des handover
    2. Générations de normes des réseaux mobiles
      • Petit historique des générations de réseaux mobiles
      • La 2G : architecture et mobilité
      • Les années 2000 : évolution vers la 3G
      • Vers la 3G+ – 4G
    3. La technologie Wi-fi
      • Les normes à connaître
      • Et la sécurité dans tout ça ?
      • Éléments d’architecture et modes de mise en réseau : ad hoc, infrastructure
      • Gestion des associations et de la mobilité
      • Étude de protocole
        • Contexte et intérêt du modèle OSI : historique, les couches, transmission des données via OSI
        • Wi-fi et le modèle OSI
          • Les technologies de transmission et la couche physique
          • La couche liaison Wi-fi :
            • La méthode d’accès CSMA/CA
            • Somme de contrôle et fragmentation
            • Étude de la trame Wi-fi
      • Utilisation du matériel
    4. Quel futur pour les liaisons sans-fil ?
      • le “multi-gigabit communication module”
        • Vers une révolution du transfert de données ?
        • Réduire au maximum le temps de traitement
      • L’OAM, l’avenir des réseaux sans fil ?
        • La capacité des réseaux sans fil va-t-elle exploser ?
        • Quelques éléments de compréhension
      • Virtualisation de réseau
        •  Présentation
        • Avantages et utilisations potentielles
      • Autres perspectives : réseaux autonomiques, systèmes multiagents…

Lien du rapport : Rapport – protocoles de transmission sans-fil

Rédacteurs

DEPERIERS Vincent et EON Kevin élèves à l’École Centrale de Nantes, encadrés par SERVIERES Myriam, Maître de Conférences à l’École Centrale de Nantes.

Licence Creative Commons
Cette œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution – Pas d’Utilisation Commerciale – Pas de Modification 3.0 France.