Nous suivre Industrie Techno

Comment protéger son réseau informatique

PHILIPPE RICHARD

Sujets relatifs :

,
Comment protéger son réseau informatique

ccÉRIC FILIOL DIRECTEUR DU LABORATOIRE DE VIROLOGIE ET DE CRYPTOLOGIE OPÉRATIONNELLE À L'ÉCOLE SUPÉRIEURE D'INFORMATIQUE, ÉLECTRONIQUE, AUTOMATIQUE (ESIEA)

© D.R.

En juin, le virus Flame, capable d'infiltrer un réseau informatique sans être repéré par les logiciels de sécurité, a fait la une des médias. Anxiogène, cette affaire joue le rôle de piqûre de rappel, même si elle ne concerne qu'une minorité de sociétés. Pour réduire les risques, identifier les menaces qui guettent réellement votre activité est essentiel.

Qui pense à la sécurité informatique, pense d'abord aux virus et autres « codes malveillants ». Le sujet est d'autant plus préoccupant que leur action ne se limite pas aux ordinateurs : depuis la détection de Stuxnet, en 2009, on sait que certains de ces logiciels sont également capables d'altérer le fonctionnement des machines d'une usine. Conçu, selon certains analystes, comme une cyberarme destinée à détruire des centrifugeuses d'enrichissement d'uranium en Iran, Stuxnet peut reprogrammer les automates industriels produits par Siemens en s'attaquant aux systèmes Scada, utilisés pour le contrôle commande des procédés. Dernièrement, c'est un autre virus malveillant de grande taille, Flame (20 Mo, contre 4 ou 5 Ko à peine pour certains virus), qui a fait l'actualité. Selon l'éditeur d'antivirus Kaspersky, ce code peut faire des captures d'écran, intercepter ce qui est tapé sur le clavier ou enregistrer des conversations et les transmettre à des serveurs distants sous forme cryptée. Mais ces attaques vraisemblablement très ciblées ne concernent qu'une minorité d'industriels. Perte de données, découverte d'un mot de passe trop banal, vol de l'équipement d'un salarié : les dangers les plus préoccupants pour la plupart des entreprises peuvent sembler plus prosaïques. Pour s'en protéger, il faut cerner les vraies menaces et adapter sa politique de sécurité en conséquence.

1 Posez-vous les bonnes questions

Avant d'envisager une évolution de votre protection informatique, la première chose à faire est un check-up complet. Vous devez vous poser trois questions clés. Premièrement : la continuité de votre système d'information est-elle assurée ? « Si votre informatique ne fonctionne pas pendant deux jours disposez-vous des moyens pour redémarrer rapidement ? », interroge Matthieu Hentzien, responsable commercial chez Hervé Schauer Consultants (HSC), un cabinet de sécurité reconnu. Si ce n'est pas le cas, il est temps de réfléchir à un plan B, notamment via des serveurs et des ordinateurs de secours. Deuxième interrogation : savez-vous où se trouvent vos informations confidentielles, et sont-elles correctement protégées ? « Chaque année, des cadres perdent ou se font voler leur ordinateur portable. Dans ce cas, il peut s'agir du maillon faible de la sécurité de l'entreprise si ce PC contient de données essentielles : catalogue client, tarifs, échanges d'e-mails. Pour éviter qu'un concurrent ou un pirate n'accède à ces informations, il faut absolument que les dossiers les contenant soient chiffrés. Pour mettre en place un chiffrage, vous pouvez par exemple utiliser Windows seven Integrale ou des logiciels gratuits comme TrueCrypt. Certifiée en France par l'Agence nationale de la sécurité des systèmes d'information (Anssi), cette application chiffre des données sur des supports fixes ou amovibles comme les clés USB », signale Matthieu Hentzien.

Enfin, troisième vérification à opérer : êtes-vous capable de maîtriser toute la sécurité informatique ? Si la réponse est non, peut-être vaut-il mieux opter pour des prestataires capables d'assurer un niveau de sécurité satisfaisant, via le cloud computing, par exemple pour votre serveur de messagerie.

Une fois ces trois questions résolues, vous pouvez, en fonction de votre budget, réaliser un test de sécurité grâce à un logiciel open source (voir encadré) ou faire appel à une société spécialisée. « On peut choisir un « audit de sécurité », une analyse complète et exhaustive du système d'information dont les prix se situent autour de 10 000 euros, ou un simple « test d'intrusion » (4 000 euros environ) qui consiste à simuler une attaque de pirates », détaille Matthieu Hentzien. Pour en savoir plus sur les tests d'intrusion et les cabinets qui les réalisent, vous pouvez contacter la Fédération des professionnels des tests intrusifs, une association qui regroupe les intervenants du secteur.

2 Adoptez les bons réflexes

Vous pouvez désormais passer à l'action. Premier réflexe : mettre à jour tous vos logiciels et systèmes d'exploitation. De plus en plus performants et polyvalents, ils présentent souvent de nombreuses failles. Lorsqu'elles sont repérées, les éditeurs publient des correctifs. Il convient donc de les appliquer dès qu'ils sont disponibles. Pour faciliter l'actualisation des programmes, de plus en plus nombreux, installés en entreprise, on peut utiliser les sites diffusant en temps réels des informations sur les failles et les patchs à télécharger. C'est le cas de Secunia (http://secunia.com). Créé en 2002, cet éditeur danois spécialisé dans la détection des failles commercialise « Vulnerability Management » qui a convaincu d'importants clients comme Areva et Atos. Ce logiciel permet de connaître en permanence le niveau de vulnérabilité de son réseau et de son parc informatique et de télécharger tous les correctifs. Un moyen pratique et efficace pour conserver un parc informatique à jour.

Deuxième chantier : remettez à plat l'utilisation éventuelle par vos salariés de leur équipement personnel au bureau. Côté pile, cette diversification matérielle et logicielle peut compenser un équipement interne obsolète. Côté face, vous devez prêter une attention accrue à la gestion des accès (chaque appareil se connectant au réseau interne devant être identifié) et des compatibilités logicielles. Peut-être devrez-vous faire appel à un cabinet de sécurité pour mettre en place une politique de gestion de cette « consumérisation de l'IT ». Autre solution : utiliser Mehari (Méthode harmonisée d'analyse de risques). Mise au point en 1996 par le Club de la sécurité de l'information français, cette méthode fournit un cadre méthodologique, des outils et des bases de connaissance pour analyser les enjeux majeurs et étudier les vulnérabilités, réduire la gravité des risques et piloter la sécurité de l'information.

Troisième point de vigilance : le contrôle des identités et des accès. Pour éviter des infiltrations (par découverte d'un mot de passe banal), il convient de donner un mot de passe « fort » à chaque salarié. Il doit être composé d'au moins trois groupes différents de dix caractères (minuscules, majuscules, caractères spéciaux et chiffres). Exemple : « Jg+17kaRe ! ». Pour vérifier sa « robustesse », vous pouvez aller sur le site Password Checker de Microsoft. Tous les mots de passe doivent être renouvelés deux à trois fois par an. Autre précaution : lorsqu'un salarié part de l'entreprise, son identifiant et son mot de passe doivent être supprimés sans délai. Enfin, si un employé veut travailler avec son PC portable personnel, il faut faire une analyse de risques (scan approfondi avec un antivirus et un logiciel vérifiant les mises à jour) avant qu'il se connecte au réseau interne.

3 Sauvegarder régulièrement

Au-delà de la protection contre les attaques virales, il faut aussi mettre à l'abri ses données. Après avoir déterminé les informations les plus confidentielles ou essentielles à l'entreprise, il convient d'en assurer la sauvegarde à fréquence régulière (au moins une fois par semaine) sur différents supports. En local, vous pouvez utiliser un disque dur externe ou un « Network Atached Storage » (NAS), à savoir un boîtier avec des disques durs connectés au réseau. Précaution importante, mais pas toujours appliquée : le disque dur ou le NAS ne doit pas être conservé dans les mêmes locaux que l'entreprise afin d'éviter qu'il ne soit lui aussi endommagé ou perdu en cas de sinistre (incendie, dégât des eaux, vol...). Pour ajouter un niveau de redondance, cette sauvegarde gagne à être doublonnée par un ou deux stockages en ligne. Privilégiez les acteurs reconnus et « sûrs », ayant peu de risques de faire faillite comme des opérateurs télécoms (Orange, SFR...) ou d'importants hébergeurs (OVH) par exemple. Enfin, ces informations stockées doivent être chiffrées pour plus de sécurité.

4 Former tous les salariés

La variété des menaces informatiques implique une étroite collaboration de tous les services d'une entreprise. La mise en place de formations régulières et thématiques (le contrôle des identités, les risques encourus avec les clés USB trouvées par « hasard » sur le parking, la détection de comportements bizarres ou d'e-mails suspects...) est indispensable. L'objectif est de sensibiliser tous les salariés, y compris les cadres dirigeants qui détiennent des informations confidentielles et peuvent être visés par une opération visant à tromper leur bonne foi.

METTRE À JOUR TOUS VOS LOGICIELS ET SYSTÈMES POUR PALLIER LEURS FAILLES.

FRAUDE

Le but de 65 % des cyberattaques est la fraude financière. Source : Check Point Software Technologies, juin 2012

4 OUTILS OPEN SOURCE POUR TESTER SA SÉCURITÉ

Pour tester la sécurité de votre réseau sans passer par une entreprise spécialisée, dont les tarifs peuvent atteindre 10 000 euros selon les prestations, ces quatre logiciels open source peuvent s'avérer utiles. JOHN THE RIPPER Ce logiciel (www.openwall.com/john) a la réputation d'être le perceur de mots de passe le plus souple d'utilisation pour un audit de sécurité. Il permet de vérifier leur robustesse. BACK-TRACK Sur ce site Internet, (www.backtrack-linux.org), on peut graver un « live CD » à utiliser pour vérifier le niveau de protection des connexions sans fil en cassant les clés WEP et WPA-PSK à partir de paquets capturés sur le réseau. WEBGOAT Créée par l'Open Web Application Security Project (Owasp), cette plate-forme permet d'étudier les attaques Web de manière didactique. L'application tourne sous une interface Web et vérifie notamment si un site présente des failles. NMAP Ce logiciel (http://nmap.org) est devenu une référence pour les administrateurs, car l'audit des résultats de Nmap fournit des indications sur la sécurité d'un réseau.

3 FAÇONS DE SÉCURISER LES DONNÉES

1. CHOISIR des mots de passe complexes et recourir à un logiciel pour tester leur robustesse. 2. CHIFFRER les informations confidentielles à l'aide d'une application adaptée. 3. SENSIBILISER les salariés aux techniques d'escroquerie et d'infiltration.

Comment mieux protéger les données personnelles

Les entreprises stockent et échangent de plus en plus d'informations privées sur leurs clients. Début 2012, la Commission européenne a manifesté sa volonté de renforcer la protection de ces données en obligeant les entreprises et administrations à notifier les fuites. En France, le législateur s'appuiera sur la loi informatique et liberté, qui précise notamment qu'en « cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit sans délai la Commission nationale de l'informatique et des libertés ». Aujourd'hui, seuls les opérateurs de télécommunications sont concernés. Pour anticiper l'évolution réglementaire, toute entreprise gagnera à s'intéresser au chiffrage de ces données et à la sécurisation des accès aux serveurs ou disques durs sur lesquels elles sont stockées.

ÉRIC FILIOL DIRECTEUR DU LABORATOIRE DE VIROLOGIE ET DE CRYPTOLOGIE OPÉRATIONNELLE À L'ÉCOLE SUPÉRIEURE D'INFORMATIQUE, ÉLECTRONIQUE, AUTOMATIQUE (ESIEA) La discrétion professionnelle est primordiale

« Les attaques sont devenues plus difficiles à repérer, car les pirates utilisent des méthodes plus sophistiquées, notamment via des documents bureautiques (PDF, Microsoft Office et LibreOffice), pour ne pas être détectées par les logiciels de sécurité. La sécurité n'est pas seulement une question de produits, mais aussi d'état d'esprit. Mais à ce jour, seuls les hackers ont cet état d'esprit ! La formation et la sensibilisation des salariés sont donc primordiales. Il est indispensable de développer la culture de la discrétion professionnelle, des valeurs éthiques du salarié, de sa loyauté. Il faut privilégier les recrutements sur la confiance en l'individu plus que ses compétences (motivé et formé, il apprendra ce qui lui manque). C'est le discours que je tiens devant les PME/PMI que je forme à la sécurité informatique ! »

vous lisez un article d'Industries & Technologies N°0947

Découvrir les articles de ce numéro Consultez les archives 2012 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Faites de l'or avec les données

Faites de l'or avec les données

La démarche d'open data, qui consiste à rendre accessibles des données variées, a été initiée par les administrations. Elle représente une opportunité[…]

01/11/2012 | EXPÉRIENCES
ISO 50 001 : pilotez vos performances énergétiques

ISO 50 001 : pilotez vos performances énergétiques

SPÉCIAL BUREAU D'ÉTUDES

SPÉCIAL BUREAU D'ÉTUDES

Écoconception :un sentier bien balisé

Écoconception :un sentier bien balisé

Plus d'articles