La sécurité informatique est un sujet extrêmement complexe. Je vais essayer dans cette page de synthétiser un certain nombre d’informations à prendre en considération dans le milieu de la sécurité …
> Introduction
La première chose à prendre en compte dans le domaine de la sécurité est la suivante : La sécurité à 100 % n’existe pas et existera jamais !
En effet, les ‘risques’ informatiques évoluent tous les jours et il s’agit d’un jeu entre le chat et la souris s’effectuant à coups de ‘mesures’ et de ‘contre-mesures’.
De plus, indépendamment de la qualité de la politique de sécurité mise en place, le maillon faible reste l’humain. La majeure partie des problèmes provient des utilisateurs et il est donc absolument indispensable de mettre en place, à défaut de formations poussées, des séances de sensibilisation.
> Quelques organismes et normes
Les principaux organismes français agissant dans le domaine de la sécurité sont :
– la DGSI (Direction Générale de la Sécurité Intérieure) qui agit dans le milieu de la cyberdéfense : https://www.dgsi.interieur.gouv.fr/decouvrir-la-dgsi/nos-missions/cyberdefense/la-dgsi-au-coeur-de-lorganisation-francaise-de
– la CNIL (Commission nationale de l’informatique et des libertés) : https://www.cnil.fr/fr/particulier et https://www.cnil.fr/fr/professionnel
– l’ANSSI (Agence nationale de la sécurité des systèmes d’information) : https://cyber.gouv.fr/
– CERT-FR (Centre gouvernemental d’alerte et de réponse aux attaques informatiques) : https://www.cert.ssi.gouv.fr/
Je vous conseille de consulter régulièrement les informations fournies par ces différents organismes.
Si vous souhaitez vous initier à la sécurité informatique, pour pouvez effectuer le MOOC de la SecNumAcadémie (et obtenir une certification) : https://secnumacademie.gouv.fr/auth/login
– La norme ISO 27000 : ISO/CEI 27000 est une norme de sécurité de l’information publiée conjointement en mai 2009 et révisée en 2012, 2016 et 2018 par l’Organisation internationale de normalisation et la Commission électrotechnique internationale, faisant partie de la suite ISO/CEI 27000.
– ISO 27005 fait partie des normes internationales qui s’imposent dans le domaine du management des risques informatiques. Elle aide effectivement les organisations qui la déploient à rationaliser la protection de leurs données sensibles et à anticiper les conséquences des cyberattaques et cybercrimes. Certification internationale réputée, ISO 27005 a été particulièrement utilisée en 2021, année pendant laquelle les entreprises ont eu à faire face à des risques cyber plus nombreux et plus complexes.
Voir aussi la page ‘’Analyse des risques’’.
> Les mots de passe (1/2)
Toute connexion à un système d’information se fait au travers d’un binôme ‘identifiant’ / ‘mot de passe’ et il s’agit déjà d’un premier problème, non pas pour le principe d’authentification concerné mais pour l’expression ‘mot de passe’ (‘password’) qui est à peu près systématiquement utilisée.
Je vais expliquer mon propos : à l’origine, le ‘mot de passe’ a été créé dans un contexte militaire pour faciliter la reconnaissance entre groupes en temps de guerre. Le mot de passe était partagé entre plusieurs soldats et permettait de se faire reconnaître pour éviter de se faire attaquer.
En fait, la logique voudrait qu’on utilise le terme ‘code secret’ à la place de ‘mot de passe’. Dans un groupe de collaborateurs au sein d’une entreprise, il n’est pas rare qu’un même mot de passe soit partagé entre plusieurs personnes, développant ainsi les risques informatiques et un manque d’efficacité dans le domaine de la sécurité. Le ‘code secret’ possède une connotation beaucoup plus privée et confidentielle. Par exemple, essayez de demander le code secret de la carte bleue de l’un de vos collèges !!! Alors que vous aurez une chance qu’il vous partage son mot de passe…
> Les mots de passe (2/2)
Il existe bien entendu des règles afin de constituer un mot de passe réputé (ou supposé) fiable : longueur minimale, majuscules, minuscules, chiffres, caractères spéciaux. Bien entendu un mot de passe constitué de 20 caractères, ne voulant strictement rien dire et réunissant toutes les caractéristiques précédentes sera plus ‘solide’ qu’un mot de passe qui sera constitué par le mot ‘bonjour’ ou ‘123456’ (comme on le voit beaucoup trop souvent).
Néanmoins, ce mot de passe qui serait constitué de 20 caractères alphanumériques avec des caractères spéciaux amène-t-il vraiment une ‘grande sécurité’ ?
La réponse est OUI et NON…
Plus le mot de passe sera complexe, pus il sera difficile de le découvrir (par exemple avec une attaque par force brute) MAIS … plus souvent l’utilisateur l’écrira sur un post-it collé sur son écran ou sur la première page de son agenda pour ne pas l’oublier …
Il est donc indispensable de trouver un juste milieu. Une des solutions souvent préconisée consiste en la mémorisation d’une phrase (vers dans un poème, phrase d’une chanson, …) avec laquelle vous allez utiliser les initiales des mots constituant cette phase, si possible ponctuée et devant comporter des nombres, par exemple, la phrase « L’assassinat de John F.Kennedy à Dallas en 1963 » donnera la mémorisation du mot de passe « AdeJF.KàDen63 »
NB : des caractères ne sont parfois pas ‘tolérés/admis’ par certains systèmes d’authentification.
Ce mot de passe n’est pas « extraordinaire », mais il est toujours plus sécurisé que ‘bonjour’ ou ‘123456’ et surtout, il n’aura pas besoin d’être écrit sur un papier ou dans un fichier …
Évidemment ce mot de passe peut être endurci en rajoutant des caractères spéciaux (=, %, !, $, @, …), par exemple en rajoutant ‘=’ au début et en le terminant par ‘!’ ou ‘@’. On peut aussi utiliser des caractères plus rares comme Å ou encore ñ (en utilisant les codes ASCII associés).
Dans ce cadre, n’hésitez pas à regarder l’outil de génération des mots de passe fourni par la CNIL : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
> CIA
Rien à voir avec la ‘Central Intelligence Agency’ américaine …
Il s’agit d’un acronyme signifiant ‘Confidentialité-Intégrité-Accessibilité’ ; il s’agit d’un socle de base dans le domaine de la sécurité :
– Confidentialité : l’information doit rester confidentielle et ne doit pas tomber dans de ‘mauvaises mains’.
– Intégrité : l’information doit être intègre (pas d’erreurs de traitement), mais l’information doit aussi être ‘complète’ (il ne doit pas manquer une partie des informations).
– Accessibilité : l’information doit pouvoir être accessible en permanence aux personnes habilitées à la traiter.
Attention une information accessible à 99% du temps est notoirement insuffisant. Par exemple, chez un hébergeur, cela signifierait que les données ne sont pas disponibles pratiquement 15 mn par jour ! Certains services requièrent une disponibilité au moins égale à 99,99% du temps (c’est à dire une indisponibilité statistique de moins de 8 secondes par jour).
Évidemment, la sécurité informatique est plus complexe que cela …
Tel que déjà mentionné la sensibilisation des utilisateurs est primordiale et d’autres contraintes sont aussi à prendre en considération ; entre autres la non-répudiation de l’information est la garantie qu’aucun des correspondants ne pourra nier la transaction (preuve/traçabilité), mais aussi l’authenticité de l’information (différente de l’intégrité) et aussi l’anti-rejeu (Les attaques par rejeu peuvent être utilisées pour accéder aux informations stockées sur un réseau normalement protégé, en lui transmettant des informations d’identification apparemment valides. Elles peuvent également être utilisées pour tromper les institutions financières en dupliquant des transactions, permettant ainsi aux attaquants de retirer de l’argent sur les comptes des victimes).
> Sécurité logique et sécurité physique des données et du Système d’Information
En termes de sécurité, il n’est pas rare de scinder la sécurité logique et la sécurité physique des données.
Cette approche permet de différencier 2 critères fondamentaux dans le milieu de la sécurité.
Notons néanmoins que cette méthode ne permet pas de couvrir tous les points nécessaires permettant de fournir un niveau de sécurité ‘satisfaisant’ dans un Système d’Information mais permet simplement de prendre en compte un certain nombre de paramètres indispensables.
La sécurité logique va s’appuyer essentiellement sur du logiciel tandis que la sécurité physique va s’appuyer essentiellement sur du matériel. On voit bien qu’il est impossible de mettre une barrière imperméable entre les 2 aspects et il ne faut pas oublier non plus d’autres composants comme la rédaction de procédures.
Il ne faut pas oublier non plus l’administration système, l’administration réseau ainsi que l’administration de la sécurité elle-même …
> Sécurité logique du Système d’Information
Voici quelques exemples d’outils ‘classiques’ dans le domaine de la sécurité logique :
- Antivirus, Firewall, Anti-spyware, …
- Systèmes et logiciels d’identification, d’authentification, de signature et scellement, de non-répudiation
- Protection logique des données
- Systèmes et logiciels de confidentialité (chiffrement),
- VPN (avec ou sans abonnement),
- Sécurité des moyens de paiement,
- …
Dans les différents points cités ci-dessus, on voit que nous faisons appel majoritairement à du logiciel.
> Sécurité physique du Système d’Information
Voici quelques exemples de démarches ‘classiques’ dans le domaine de la sécurité physique :
- Redondance d’accès réseau et système,
- Sécurisations des connexions et câblages,
- Procédures de sauvegardes, plan de secours et de reprise,
- Systèmes d’environnement : alimentation électrique, climatisation, parasites, nettoyage de la salle informatique, …,
- Dispositifs de contrôle d’accès et de confidentialité,
- Gestion centralisée des alarmes, surveillance, télésurveillance,
- Sécurité intrusion, vol, vandalisme, contrôle d’accès,
- …
Notons que la sécurité ‘physique’ est trop souvent négligée.
Elle permettra, par exemple, d’améliorer l’accessibilité aux systèmes d’information en mettant en place des systèmes à tolérance de panne et des redondances d’accès. Elle permettra aussi de prendre en compte la nécessité de mettre en place des systèmes électriques plus sécurisés (RPS, onduleurs, prises parafoudres, …). Mais il est aussi possible d’aller plus loin en ayant pour un même bâtiment 2 arrivées électriques séparées ou encore d’avoir 2 fournisseurs Internet différents avec des accès (routeurs) situés dans 2 endroits différents du bâtiment (avec une arrivée de ligne différenciée).