La sécurité à l usage des PME et des TPE

Transcription

1 La sécurité à l usage des PME et des TPE 14 juin 2005 Centre français de réflexion sur la sécurité des systèmes d information Collection Ténor etna France Ouvrage collectif sous la direction de Gérard Péliks Ont contribué jusqu à aujourd hui à la rédaction de ce livre : Marie-Agnès Couwez, Alain Germain, Michèle Germain, Michel Habert, Mauro Israel, Gérard Peliks 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 1/51

2 La sécurité Pourquoi sécuriser son système d information? Pourquoi et pour qui ce livre est écrit? Les enjeux et chiffres clés de la sécurité Dépendance technologique et compétivité des PME françaises Les fondamentaux de l'intelligence économique Pourquoi investir dans un environnement de confiance? Un enjeu pour les dirigeants d'entreprise Les risques financiers Enjeux économiques et pérennité de l'entreprise Le cadre juridique Le facteur humain Cas pratique La cybercriminalité : les PME sont-elles A l'abri? Spyware, phishing, virus... même combat Les menaces sur votre messagerie Les menaces sur votre Web Les menaces sur la disponibilités de vos informations Les attaques par déni de service distribué Les éléments matériels et logiciels de la sécurité L authentification L'authentification forte pour la sécurisation des accès La gestion des identités Dissimuler l information Les principes du chiffrement Les principes des réseaux privés virtuels La stéganographie Le meilleur compromis coût/fonctionnalité grâce aux coupes-feux tout en un Les appliance multi fonction pour les PME Sécuriser les accès Web aux applications d'entreprise Le contrôle et le filtrage du contenu Se sécuriser par des logiciels libres? Les caractéristiques des logiciels libres Les principaux logiciels libres Les apports des logiciels libres à la sécurité Les embûches liées à l utilisation des logiciels libres (et comment les éviter) Bilan Les services Concilier sécurité et simplicité d'administration les aspects de noms de domaines sur Internet Analyse de risques Politique de gestion de vulnérabilités et des correctifs Plans de continuité d'activité Le déploiement des patchs la détection d intrusions Externaliser sa sécurité? Externaliser la veille stratégique Externaliser la détection d intrusions Externaliser la gestion des outils de sécurité Externaliser la sauvegarde des données Externaliser le site Web institutionnel Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance? Les nouvelles Infrastructures de sécurité orientées service La sécurité du système d information de l entreprise Les infrastructures de sécurité juin 2005 etna France Voir en dernière page pour les droits de reproduction 2/51

3 3.9.3 Le niveau de service de la sécurité Services et domaines La gestion des services Les évolutions des infrastructure La consolidation La consolidation appliquée à la sécurité Exemple d une démarche de sécurité orientée service pour une TPE/PME Etude de cas Conclusion Quelques applications devant être sécurisées L entreprise sans fil L informatique sans fil La téléphonie sans fil Recommandations ToIP et Sécurité la signature électronique Les deux piliers de cette technologie La signature électronique en théorie La signature électronique en pratique Mais est-ce bien légal et reconnu? L avenir de la signature électronique La sécurité des outils nomades L ordinateur portable Le PDA Les téléphones mobiles Le vote électronique L aspect humain de la sécurité Comment influer sur les comportements à risques? Quelle politique de sécurité pour une PME? L aspect économique de la sécurité La gestion de crise pour une PME PMI Associez votre budget sécurité à vos enjeux L aspect juridique de la sécurité Les nouvelles règles juridiques de la cybercriminalité: victime donc responsable A qui s adresser après une attaque? Dix mesures concrètes pour sécuriser votre PME connectée Ce que vous n'avez peut-être pas encore: Ce qu'il faut renforcer: Renforcement des méthodes: Protection des données: Bibliographie et références Général Juridique Les pointeurs de Mauro Israel Glossaire Acronymes Définitions Contributions à l écriture de ce livre juin 2005 etna France Voir en dernière page pour les droits de reproduction 3/51

4 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 4/51

5 1 POURQUOI SECURISER SON SYSTEME D INFORMATION? 1.1 POURQUOI ET POUR QUI CE LIVRE EST ECRIT? Auteur : Marie-Agnès Couwez, [email protected] Un seul objectif, ambitieux certes, à ce livre : Chers lecteurs, devenez ACTEURS! Connaissez et maîtrisez les risques, les nuisances, liés à l usage de vos ordinateurs en réseau, de votre messagerie, de l internet. Ce livre est destiné aux très petites, petites et moyennes entreprises (TPE et PME) qui ne disposent pas en interne de personnel spécialiste de ces questions. Et pourtant, elles doivent mettent en œuvre, gérer et sécuriser au quotidien leur réseau informatique, de nouveaux outils technologiques, et l ensemble des réseaux de communication qui constituent aujourd hui la base de l activité de production, de gestion et de développement d une entité. Compte tenu de la similitude en matière d organisation qui peut exister avec des collectivités locales de petites tailles, ce livre leur est aussi destiné, hormis ce qui pourrait relever de spécificités dues à leur caractère public. Dans la société de l information actuelle, le poste informatique de voilà quelques années est devenu «système d information» de part ses interconnexions. L entreprise échange des informations avec ses salariés, ses clients, ses fournisseurs, au moyen de la messagerie, donc de l Internet, d un Intranet ou d un Extranet. Elle communique aussi avec des outils multi fonctions comme le téléphone portable ou l assistant personnel (PDA) et se lance maintenant dans la téléphonie sur Internet (VoIP). Elle utilise quotidiennement des applications qui lui permettent de se développer et d assurer sa gestion. Avec ce livre, nous souhaitons : Attirer votre attention sur les ressources critiques pour votre activité Indiquer les principaux risques et nuisances liés à l usage des technologies Vous fournir des éléments de réponse dans chaque cas. Et maintenant un mini quiz : Avez-vous au moins un ordinateur, portable ou fixe, connecté à un réseau? Utilisez-vous une messagerie? Votre entreprise est-elle en réseau? Utilisez-vous des connections sans fil (WiFi)? Avez-vous un site internet? Si vous répondez oui à au moins une de ces questions, ce livre est fait pour vous! 1.2 LES ENJEUX ET CHIFFRES CLES DE LA SECURITE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected] 1.3 DEPENDANCE TECHNOLOGIQUE ET COMPETIVITE DES PME FRANÇAISES 1.4 LES FONDAMENTAUX DE L'INTELLIGENCE ECONOMIQUE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected] 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 5/51

6 1.5 POURQUOI INVESTIR DANS UN ENVIRONNEMENT DE CONFIANCE? Auteur : Eléonore Estadieu (MSI) [email protected] Un enjeu pour les dirigeants d'entreprise Les risques financiers Enjeux économiques et pérennité de l'entreprise Le cadre juridique Le facteur humain Cas pratique 1.6 LA CYBERCRIMINALITE : LES PME SONT-ELLES A L'ABRI? Auteur : Franck Franchin (France Télécom) [email protected] 1.7 SPYWARE, PHISHING, VIRUS... MEME COMBAT Auteur : Yann Berson (Webwasher) [email protected] 1.8 LES MENACES SUR VOTRE MESSAGERIE 1.9 LES MENACES SUR VOTRE WEB 1.10 LES MENACES SUR LA DISPONIBILITES DE VOS INFORMATIONS Les attaques par déni de service distribué 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 6/51

7 2 LES ELEMENTS MATERIELS ET LOGICIELS DE LA SECURITE 2.1 L AUTHENTIFICATION L'authentification forte pour la sécurisation des accès Auteur : Loïc Caradec (ActivCard) [email protected] La gestion des identités Auteur : Marie-Agnès Couwez, [email protected] Dans ce chapitre, ce terme désigne la gestion des utilisateurs d un système d information. Nous ne traiterons pas ici de la maîtrise des éléments d identités que chaque internaute est susceptible de laisser sur internet. Que recouvre cette appellation et quelle est l importance de ce processus pour la sécurité de l entreprise? L identité recouvre trois sortes de données : les informations nominatives, telles que définies par la CNIL le profil de l utilisateur : sa fonction, le service auquel il est rattaché, ses domaines d intervention les habilitations de l utilisateur. Le cycle de vie d une identité comporte trois états : la création, la maintenance, la révocation. La gestion de l identité renvoie à plusieurs problématiques : garantir l accès sécurisé aux applications, organiser, techniquement et opérationnellement, le processus de gestion des identités et les procédures de mise à jour, calculer le coût financier que représente la gestion de ce processus, qu il s agisse de solutions manuelles (temps consacré à cette tâche) ou de solutions techniques (coût d achat, d implémentation, de gestion). De la même manière qu une société contrôle les accès physiques à ses locaux, qu il s agisse de ses employés, de ses clients ou de ses fournisseurs, elle doit s assurer que toute personne qui se connecte à son système d information et à ses applications est dûment autorisée à le faire. Le développement du nomadisme, du télétravail, des interconnexions avec les réseaux des clients ou fournisseurs multiplie les points de vulnérabilité du réseau. L entreprise est donc amenée à mieux contrôler et à renforcer l authentification des utilisateurs (le plus souvent par simple identifiant et mot de passe) et à définir précisément les droits d accès aux applications. Ce qui est relativement simple pour le contrôle des accès physiques aux différents espaces, bureaux, ateliers, s avère beaucoup plus compliqué dans le cas présent. Une des raisons principales est l organisation de l informatique et l historique de cette organisation. En effet, les applications de l entreprise se sont développées séparément, sur plusieurs années, afin de répondre à des besoins métiers et de gestion : les ressources humaines, la comptabilité, les bases de données clients Si certaines ont pu être regroupées dans un progiciel de gestion intégrée (PGI), les messageries, les applications web, se sont rajoutées au fil du temps. Ces applications n ont pas été conçues pour communiquer entre elles et rendent difficile l interopérabilité, quand ce n est pas impossible. Elles possèdent leur propre base de données utilisateurs (appelée référentiel ou annuaire) avec les outils de gestion intégrés. Chaque référentiel associe à un utilisateur des informations d identité nominative, un identifiant et un mot de passe, des privilèges en fonction de ses besoins métier. Ces derniers définissent le niveau d usage, de l accès 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 7/51

8 en simple consultation au droit d écriture et de modification, ou au contraire à l absence totale de droit. Ainsi, les informations relatives à l identité et aux droits attribués à chacun sont disséminées dans plusieurs référentiels, ce qui rend difficile le contrôle global de la qualité et de la cohérence des informations. Comment repérer les erreurs, les doublons, comment mettre à jour rapidement les informations en cas de changement (recrutement, nouvelle fonction et droits associés, départ d un salarié). Avec, en corollaire, le défaut de sécurité qui peut en résulter dans le contrôle d accès aux ressources de l entreprise. Si celles-ci ont pris l habitude depuis longtemps de bien cloisonner certaines applications comme la comptabilité ou la paye (seuls les salariés habilités y ont accès), les règles sont souvent beaucoup moins bien définies pour l accès aux bases commerciales ou marketing. Afin d automatiser ce processus, la technologie des annuaires de type LDAP (Lightweight Directory Access Protocol) s est développée à partir de Ce protocole permet d accéder à une base de données centralisée (ou annuaire) qui prend en charge les authentifications et les habilitations de chaque application. D autre part, la sécurité de l accès aux applications peut s appuyer sur une authentification unique de type Single Sign On (SSO), surtout pour des services internet, qui évite les authentifications multiples aux utilisateurs. Ce système a plusieurs avantages : la simplification d usage pour l utilisateur (en réduisant les couples identifiant/mot de passe), de traitement pour l administrateur (gestion centralisée des droits), une meilleure sécurité (dans le cas où l application comporterait une faille) Deux solutions s offrent aux moyennes entreprises, sachant que les plus petites auront forcément recours à la deuxième solution en raison de leur volume à traiter et du rapport coût /volume : soit la mise en œuvre d un processus automatisé de gestion des identités sous forme d annuaire LDAP qui permet de mettre à jour une seule base de données soit la gestion manuelle des contrôles d accès et de tous les changements qui peuvent affecter un compte utilisateur. Les deux solutions ont toutefois un coût financier. Dans le premier cas, c est celui de l implémentation de la solution technique et organisationnelle. Dans le second, c est le temps passé par un administrateur réseau (ou la personne en charge) à gérer les comptes utilisateurs sur les différentes applications et sur l ensemble du système d information. Toutefois, il ne faut pas limiter le raisonnement à ces seuls paramètres car la vraie question aujourd hui pour toute structure est de savoir comment elle maîtrise ses connections, comptabilise ses utilisateurs, décide et surveille qui accède à quelle information, quand et où. La sécurité a un prix, tout comme la qualité, même si une bonne organisation peut réduire ce prix. Cinq questions à vous poser : combien de temps faut-il pour qu un nouveau salarié reçoive l accès aux ressources dont il a besoin? cet accès délivré, êtes-vous certain que ce salarié ne puisse accéder à des applications qui ne sont pas de son domaine d action (par exemple : le stagiaire en marketing que vous venez d accueillir, accède-t-il aux documents stratégiques de votre prochaine campagne qui débute dans six mois?) cette même question peut se décliner pour des acteurs externes qui ont accès à votre système d information : contractants (consultant, équipe de développement ou de maintenance ), clients, partenaires, fournisseurs sous quel délai sont désactivés tous les accès et les droits d un salarié qui quitte votre entreprise combien d identifiants et de mots de passe différents sont nécessaires à vos salariés pour accéder aux applications? 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 8/51

9 2.2 DISSIMULER L INFORMATION Les principes du chiffrement La sécurité à l usage des PME et des TPE Les principes des réseaux privés virtuels La stéganographie Auteur : Gérard Péliks (EADS) [email protected] Article écrit pour Netcost&Security Pour assurer la confidentialité des informations sensibles qui transitent entre deux réseaux sûrs, en empruntant un réseau public tel l Internet, chiffrer ces informations est une bonne solution. Cela consiste à rendre au moyen d un algorithme de brouillage et en utilisant une clé de chiffrement, cette information incompréhensible jusqu à ce qu elle soit déchiffrée à l autre bout du réseau, connaissant l algorithme de chiffrement et la clé de déchiffrement. Suivant la taille des clés et les algorithmes utilisés, cette méthode pourrait être considérée comme parfaite si elle ne pêchait sur un point : si l information est chiffrée, c est justement qu elle présente un intérêt donc il peut être utile à ceux à qui on cache cette information de mettre en action les moyens de calcul pour la déchiffrer. Si l information chiffrée incite ceux à qui elle est dissimulée d essayer de découvrir quel secret elle renferme, autant ne rien cacher pour éviter d attirer l attention sur cette information! Mais il n est pas question non plus de laisser passer cette information en clair sur un réseau non sûr ou de l archiver sur un média qui pourrait être lu. La stéganographie, à ne pas confondre avec la sténographie, répond à cette faiblesse. La stéganographie est l art de dissimuler une information en clair dans un message en clair qui paraîtra anodin et cachera l information sensible qu il contient. Un texte paraîtra banal et sans intérêt sauf si par exemple on lit un mot sur trois, ou le cinquième mot de chaque phrase. Un exemple littéraire célèbre de stéganographie nous est donné par un échange épistolaire entre George Sand et Alfred de Musset. George Sand envoie à Alfred de Musset un poème merveilleux de romantisme et de pureté mais lu une phrase sur deux, le poème apparaît comme n'étant pas si romantique, et plutôt pour le moins direct. Alfred de Musset répondit à son amie George Sand par un autre poème, également pure merveille de romantisme, mais en lisant seulement le premier mot de chaque vers, le poème devenait une proposition plutôt indécente. Et George Sand répondit à cette invitation par deux vers utilisant la même clé, lire le premier mot de chaque vers, qui donnait le renseignement demandé : Cette grande faveur que votre ardeur réclame Nuit peut-être à l'honneur mais répond à ma flamme. On trouve un autre exemple de stéganographie dans le film d Alfred Hitchcock, le rideau déchiré, où des secrets d état transitent vers les pays de l Est dissimulés dans une partition musicale. En fait dans la partition, une seule note noire qui aurait du être blanche contenait miniaturisée toute l information d un aéronef, nous étions à l époque en pleine guerre froide. Seule une personne connaissant bien toutes les notes de cet opéra aurait pu s apercevoir de la supercherie, et encore fallait-il qu il ne pensât point que la noire au lieu de la blanche était une simple erreur et disposât d un microscope électronique pour visualiser l information (textes, équations, schémas) cachée dans la note. Ne peut-on penser qu une banale bande vidéo enregistrée de Ben Laden où il est question de combats contre le Satan, mais rien de très concret, ne cache en arrangeant les mots, en décodant les images ou même en analysant les fréquences de la parole, des annonces très concrètes comme des objectifs à détruire? La CIA y pense bien sûr et ces bandes sont analysées dans leurs moindres détails. En poussant plus loin la stéganographie-mania, des analystes essayent de trouver dans la bible des messages cachés et affirment que la bible révèlera tout l avenir de l humanité à ceux qui en possèdent les clés. Laissons à ces auteurs la responsabilité de leurs affirmations mais il faut reconnaître que certaines sont troublantes à moins que le hasard des mots ne soit expliqué par la 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 9/51

10 science des statistiques. On ne pourrait rêver d un meilleur média pour véhiculer des informations cachées qui traversent les siècles. Donnons un exemple un peu plus technique, très employé : dissimuler l information sensible dans une image banale comme vos photos de vacances ou vos portraits de famille. Une image est constituée de pixels qui sont des points élémentaires colorés par un niveau de bleu, de vert et de rouge. Chaque pixel est formé d un octet (8 bits) pour le bleu, un octet pour le vert et un octet pour le rouge. La combinaison de ces trois couleurs fondamentales donne le point coloré. Supposons qu on réserve le dernier bit de chacun des 3 octets de chaque pixel pour constituer un message caché. La dégradation de l image sera imperceptible. On peut ainsi utiliser le huitième de la taille de l image pour cacher un message. Bien malin est celui qui se doute qu une image d un paysage de vacances, envoyé, par messagerie en pièce jointe à un partenaire, contient caché la liste de prix d une gamme de produits avec les remises consenties à ce partenaire. On pourrait penser que l opération est séduisante sur le plan technique mais difficile à réaliser dans la pratique? Il n en est rien, il suffit d utiliser l interface conviviale d un outil de stéganographie, on en trouve des gratuits sur l Internet. Pour ma part, j utilise Steganozorus et j ai fait passer bien des messages secrets dans les images que j attache à certains de mes courriels et je n ai vu personne chercher des messages cachés dans mes photos de vacances. 2.3 LE MEILLEUR COMPROMIS COUT/FONCTIONNALITE GRACE AUX COUPES- FEUX TOUT EN UN Auteur : Dominique Meurisse (Netasq) [email protected] 2.4 LES APPLIANCE MULTI FONCTION POUR LES PME 2.5 SECURISER LES ACCES WEB AUX APPLICATIONS D'ENTREPRISE 2.6 LE CONTROLE ET LE FILTRAGE DU CONTENU Auteur : Gabriel Gross (Dolphian) [email protected] 2.7 SE SECURISER PAR DES LOGICIELS LIBRES? Auteur : Alain Germain (Idsoft) [email protected] Les caractéristiques des logiciels libres Introduction : Sur Internet, si vous lancez une recherche avec GOOGLE avec l expression «logiciel libre», vous obtenez réponses. Alors, marginal le phénomène logiciel libre? Pas vraiment. En tous cas, à défaut d utilisation généralisée, on en parle beaucoup. Plutôt que de rédiger cette partie de l ouvrage dans un style doctoral (qui a dit ennuyeux?), j ai préféré un mode plus vivant sous forme de questions-réponses ce qui, à mon avis, présente 2 avantages : indiquer modestement que cet exposé est forcément incomplet, rendre la lecture plus vivante et plus concrète. Toutes les questions évoquées ci après, je me les suis posées à un moment ou à un autre. L avantage que vous avez sur moi, c est de trouver immédiatement les réponses dans les pages qui suivent tandis qu il m a fallu plusieurs jours ou plusieurs semaines pour arriver au même résultat. Qu est ce qu un logiciel libre? : Selon l AFUL (Association Francophone des utilisateurs de Linux et des logiciels libres) : «sont considérés comme libres des logiciels disponibles sous forme de code source, librement redistribuables et modifiables selon les termes d une licence de type GPL ou avoisinante». 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 10/51

11 On trouve souvent dans la littérature anglo-saxonne le terme «Open Source». En fait «Logiciel libre» en est la traduction francophone. Qu est que la licence GPL? : «Licence GPL» est la traduction francophone de «General Public License». C est un ensemble de règles qui définit les droits et les devoirs des concepteurs, distributeurs et utilisateurs des logiciels libres. (Il existe d autres formes de licences dérivées mais la GPL est très souvent utilisée). Cette licence est l équivalent (sur le plan juridique), des «conditions générales d utilisation» que l on trouve en tous petits caractères avec les logiciels propriétaires du commerce mais, à la différence de celles ci, qui cherchent à restreindre par tous les moyens vos droits d utiliser, diffuser, recopier le logiciel, la licence GPL cherche, au contraire, à étendre les conditions d utilisation dans le respect des droits fondamentaux des concepteurs et des utilisateurs. Quelles sont les principales caractéristiques communes des logiciels libres? Les conditions détaillées sont disponibles (en anglais) sur le site : Pour faire simple : liberté de diffuser et d utiliser le logiciel sous réserve de diffuser également les termes de la licence qui le gère. liberté de connaître le fonctionnement détaillé du logiciel par le code source qui doit être diffusé (ou mis à disposition, par exemple sur Internet) par le concepteur. On verra plus loin les conséquences de cette règle en terme de sécurité. liberté de modifier ou d intégrer tout ou partie d un logiciel libre existant dans son propre logiciel à condition d étendre les règles de la licence du logiciel d origine au logiciel «enveloppe». Un logiciel libre est -il gratuit? : Pas forcément Mais comme un logiciel libre qui emploie des composants libres et gratuits (provenant de Linux par exemple) ne peut être lui-même que gratuit, on conçoit que le nombre de logiciels libres payants soit singulièrement limité. Par contre les services associés à ces logiciels (supports de distribution, manuels, assistance technique, développements spécifiques, formation, etc ) sont en général rémunérés. Comment est -il possible que des logiciels diffusés gratuitement offrent des performances identiques ou meilleures que celles de logiciels du commerce? : Difficile à croire mais pourtant c est vrai! Les équipes de développement des projets importants sont loin d être pléthoriques (une dizaine à une centaine de personnes au maximum) mais sont extrêmement compétentes dans leur domaine. Les recettes proviennent de dons de particuliers ou d entreprises, de ventes de produits dérivés et surtout de prestations spécifiques permettant d assurer un revenu correct aux participants. Il est clair qu au royaume des logiciels libres, l appât du gain n est pas le moteur principal de motivation. De plus et par le biais d Internet, beaucoup de bénévoles répartis dans le monde entier (plusieurs milliers dans le cadre de projets importants) apportent leur contribution en réalisant des travaux annexes mais absolument indispensables tels que les tests logiciels, l administration des versions successives, la réalisation de la documentation, les traductions, le packaging, etc La seule motivation de ces personnes est d apporter leur pierre à l édification de l entreprise commune (toute ressemblance avec les contributeurs du présent ouvrage ne serait pas fortuite). 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 11/51

12 2.7.2 Les principaux logiciels libres applications système, réseaux La sécurité à l usage des PME et des TPE Je suppose que vous voulez parler de Linux? : En effet, mais pas uniquement. Il existe d autres systèmes d exploitation (FreeBSD par exemple) mais leur diffusion reste marginale. Le développement de Linux a été entrepris en 1991 par un étudiant à l université d Helsinki, Linus Torvalds qui souhaitait construire un nouveau système d exploitation en s inspirant du système Unix qui existait déjà depuis plus de trente ans. Son travail a attiré l attention de très nombreux universitaires dans le monde entier qui, grâce à l Internet, ont apporté leur pierre à l édifice et permis d obtenir ce qu est Linux aujourd hui. Même si la diffusion de Linux reste encore modeste, il est des secteurs où sa part de marché est importante. Environ 25% des serveurs Internet fonctionnent sous Linux. Dans les autres secteurs, la progression de Linux est variable mais elle est générale. De plus en plus de personnes apprécient la qualité des logiciels libres, la sécurité et la gratuité. Il faut absolument citer deux logiciels libres utilisés pour les applications réseaux : «Samba»» est un logiciel utilisé dans un réseau local pour relier des postes de travail dans des environnements hétérogènes (Linux, Windows, Apple, etc ). Il est vraiment incontournable dès qu il s agit de faire dialoguer et échanger plusieurs machines en local. «Apache» est un logiciel serveur Web. Aujourd hui, 60% des serveurs Web utilisent ce logiciel pour gérer les échanges. En fait, sans Internet, Linux n existerait peut être pas et sans Linux et les logiciels libres, la révolution Internet n aurait sans doute pas eu lieu applications généralistes (Web, bureautique, multimédia) Existe-il- des logiciels libres fonctionnant sous Windows? : De plus en plus de développeurs proposent des versions de leurs logiciels libres fonctionnant également sous Windows. La plus grosse partie du travail de développement se trouve dans la définition des caractéristiques et la programmation des fonctionnalités; ceci se fait indépendamment du système d exploitation sur lequel le logiciel sera réalisé. L adaptation du logiciel à un système vient en tout dernier et consiste à apporter quelques retouches spécifiques, à compiler le programme avec les bibliothèques de chaque système et à élaborer les procédures d installation. Cette conception multi-systèmes permet une diffusion beaucoup plus large des logiciels pour la plus grande satisfaction des utilisateurs et des développeurs. Puis-je retrouver, dans les logiciels libres, l équivalent des logiciels commerciaux que j utilise? : Plusieurs centaines d applications libres sont disponibles. Plutôt que de tenter de dresser une liste exhaustive, je préfère indiquer quelques logiciels que j utilise au quotidien et dont je garantis la qualité de réalisation et la richesse des fonctions. «Firefox» est un navigateur Web extraordinaire. Occupant peu de volume en mémoire, très rapide, il est extrêmement sécurisé : il n accepte pas les «contrôles Active X» susceptibles de contenir des codes nuisibles. Il est possible de lui adjoindre un grand nombre de «plugs -ins» pour améliorer ses possibilités (en particulier «Adblock» qui permet de bloquer l affichage de pages ou de messages de publicités ). «Thunderbird» est un logiciel de messagerie très convivial et très bien sécurisé. Il dispose en standard d un module de filtrage des «spams» par auto-apprentissage. Après quelques jours, il est capable de rejeter entre 95 et 99% des messages polluants. «Open Office» est une suite complète d outils bureautiques comprenant un traitement de texte, un tableur, un logiciel de présentation et en prime, un outil de dessin. Bien qu il 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 12/51

13 utilise un mode de stockage des données différent de celui de la suite «Office» de Microsoft, il est capable de récupérer tous les documents générés sous «Word», «Excel» et «Powerpoint». Par contre si les documents comportent des «macros», celles ci ne seront pas récupérées ce qui est plutôt une bonne chose car elles sont parfois un vecteur important de transmission de codes nuisibles. «MySql» est un gestionnaire de bases de données, concurrent crédible de «Access». «Gimp» est logiciel de retouches et de traitement d images. «Mplayer» est un lecteur multimédia qui lit à peu près tous les formats audio et vidéo. «K3B» permet de graver tous les formats de CD (données, musique, etc..) applications spécifiques Si j envisage une migration sous Linux, puis-je continuer à utiliser les logiciels spécifiques que j avais fait développer pour mes propres applications? : Tout dépend de quelle façon et avec quel langage, ces logiciels ont été développés. Si ceux ci ont été développés en «langage C» ou en «Java» vous n aurez sans doute pas de gros problèmes pour les adapter sous Linux (Linux lui-même est développé en «langage C»). Dans les autres cas, la charge de travail nécessaire est à établir au cas par cas. Si le travail est important ou que vous ne pouvez pas disposer du code source, il reste peut-être une solution : Il est existe un logiciel libre spécialisé «Wine» qui permet de faire fonctionner sous Linux des logiciels développés pour Windows. Le résultat n est pas garanti. Vous pouvez avoir une compatibilité totale, pas de fonctionnement du tout ou perdre certaines fonctionnalités. Dans tous les cas, cela vaut la peine d essayer Les apports des logiciels libres à la sécurité sécurité système Pouvez vous m expliquer pourquoi un système Linux serait plus sûr qu un système Windows? : Au départ, Windows a été conçu comme un système à interface graphique, intuitif, facile à utiliser de manière à séduire le plus grand nombre possible de personnes. A cette époque cet objectif n était pas si facile à réaliser compte tenu des possibilités limitées des matériels et il a été nécessaire de faire des sacrifices et des compromis sur certaines caractéristiques (dont les aspects de sécurité). En bref, Windows a été bâti comme un système convivial mais peu protégé et tous les ajouts ultérieurs concernant la sécurité ont consisté à corriger les failles, au fur et à mesure de leur découverte, par des rustines logicielles. Pour être objectif, des progrès importants ont été réalisés (avec XP SP2 en particulier) mais il faudra attendre la sortie du prochain système d exploitation de Microsoft (Longhorn) pour bénéficier (je l espère!) d un système véritablement sécurisé. Au contraire, Linux prend en compte les impératifs de sécurité dès la rédaction du cahier des charges. «Linux doit être un système multi-tâches et multi-utilisateurs où toutes les données et toutes les applications de chaque personne sont gérées sans risques et sans interférences». Le développement de Linux s est fait à partir de ces principes qui n ont jamais été transgressés au cours de l évolution du système. Tout au plus a-t-on ajouté des utilitaires graphiques conviviaux pour faciliter la gestion de la sécurité. Comment la sécurité des données et des applications est-elle gérée au quotidien sous Linux? : C est un des aspects importants de la sécurité et tout à fait représentatif de la manière dont Linux traite ce genre de questions, c est à dire de façon simple et compréhensible. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 13/51

14 Linux connaît quatre catégories possibles d intervenants possibles (n oublions pas que Linux est un système multi-utilisateurs) : «l administrateur». Il a droit de vie et de mort sur toutes les données, tous les programmes et les paramètres du système. L accès au statut d administrateur est protégé par un mot de passe qu il est vivement conseillé de conserver en lieu sûr car en cas d oubli, il est extrêmement difficile d accéder au système (et ne comptez pas sur moi pour vous expliquer comment faire ) «les utilisateurs». Chacun possède son propre espace où il gère ses données et ses programmes comme il l entend. «les groupes d utilisateurs». Plusieurs utilisateurs ayant des objectifs communs (travaillant sur un même projet) peuvent avoir intérêt à partager des applications et des données. «les autres». Les autres personnes connectées au système avec qui des échanges ponctuels peuvent être souhaitables. Par ailleurs Linux connaît quatre types d accès aux données et aux applications : pas d accès du tout (!) accès en consultation accès en écriture accès en exécution (pour les programmes). La gestion des droits se résume pour un utilisateur à définir pour chaque fichier lui appartenant (donnée ou programme) les autorisations qu il accorde ou non à chaque catégorie d intervenant. Rassurez-vous! Il existe des options par défaut et des outils conviviaux de gestion de ces droits, mais le principe est simple et cela fonctionne très bien sécurité Internet Dans la liste des logiciels libres fonctionnant sous Linux, je n ai pas vu de programmes antivirus. Est-ce un oubli? : Mauvaise nouvelle : Il n y a pas de logiciels antivirus sous Linux. Bonne nouvelle : Il n y a pas besoin de logiciels antivirus car il n y a pas de virus sous Linux. On justifie souvent cette absence de virus par la raison suivante : L objectif des individus malfaisants qui élaborent les virus est de nuire au plus grand nombre ; or, la diffusion de Linux, à ce jour, (hormis quelques secteurs évoqués précédemment) reste minime par rapport au grand frère Windows d où le désintérêt des «hackers». Je pense que la véritable raison est autre : En dehors des «amateurs» qui trouvent très amusant d afficher une tête de mort sur l écran d un PC distant en même temps qu on reformate le disque dur, aujourd hui, la motivation principale des pirates est de prendre le contrôle des micros à des fins illicites tels que envois de «spams», déclenchement de dénis de service, etc Pour cela il faut accéder au système ce qui est tout à fait impossible sous Linux (à moins d être connecté à Internet avec le statut «administrateur» ce qui est une erreur gravissime). Il reste bien sûr possible de nuire à un utilisateur en modifiant certains de ses fichiers et répertoires mais les conséquences, pour désagréables qu elles soient, restent limitées. Par conséquent, et pour pas mal de temps encore, la navigation sur Internet sous Linux avec des logiciels libres offre un niveau de sécurité exceptionnel sécurité d utilisation Pourquoi aurais-je plus confiance dans des logiciels libres que dans des logiciels commerciaux de fournisseurs connus? : Essentiellement pour des raisons de confidentialité 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 14/51

15 Vous avez l assurance qu un logiciel libre ne comporte pas de parties de code cachées qui vont collecter, à votre insu, des informations sur votre configuration, vos fichiers, vos habitudes de surf sur Internet pour les rediffuser à des tiers dans des buts inavoués. L obligation faite, dans le cadre des logiciels libres, de diffuser ou rendre disponible l intégralité du code source, dissuade toute entreprise ou développeur mal intentionné d attenter à votre vie privée à votre insu. De plus, comme la modification des logiciels libres est autorisée, il serait tout à fait possible et légal de supprimer ou contourner cette partie de code. Il n est pas question d examiner personnellement les codes sources des programmes ; mais en cas de doute, soyez assurés que d autres personnes le feront et s il s avère que des codes malveillants sont inclus dans un logiciel applicatif, l information sera diffusée très rapidement et le logiciel ne survivra pas très longtemps à cette découverte. Les logiciels libres sont-ils exempts de bugs? : Non. La présence de bugs dans les développements informatiques est inévitable quelles que soient les précautions prises et la qualité des tests pratiqués mais le comportement des logiciels fonctionnant sous Linux se démarque fortement de celui observé sous Windows. Avec Windows, vous avez sûrement été déjà confronté à l écran bleu vous informant qu une erreur s est produite et même l appui simultané des touches Ctrl + Alt + Sup ne suffit pas à débloquer le système. Il ne reste plus qu à basculer rageusement l interrupteur secteur du micro avec les risques de pertes d informations qui en résultent. Avec Linux, ce cas de figure est tout bonnement impossible car chaque logiciel fonctionne dans sa propre zone mémoire sans empiéter sur les programmes voisins et surtout pas sur la zone système. Si un logiciel se trouve bloqué (à la suite d un bug ou d une erreur de manipulation), les autres programmes continueront de fonctionner normalement. Il existe d ailleurs, une commande de Linux (le «killer» symbolisé dans l interface graphique par une tête de mort) qui permet de détruire n importe quel processus en cours (bloqué ou pas). Au pire, si c est l interface graphique qui est concerné par le blocage, il suffit de passer Linux en mode caractère par appui d une touche du clavier et arrêter ensuite correctement le système d exploitation sans perte de données sécurité de maintenance et d évolution Puis-je bénéficier des évolutions et des améliorations des logiciels libres? : Bien sûr. La plupart des logiciels libres proposent de se connecter périodiquement sur leur site pour vérifier si une nouvelle version ou une mise à jour du logiciel est disponible. Si vous consultez le site de téléchargement d un logiciel libre, vous allez être surpris par le nombre de versions différentes proposées. On distingue en général les versions «bêtas» (dont le développement n est pas figé et quoi font encore l objet de tests) et les versions «stables» (que l on considère comme suffisamment débuguées pour être utilisées sans risque majeur de disfonctionnement). Dans tous les cas, chaque version est accompagnée de la liste complète des erreurs corrigées, des nouvelles fonctionnalités ainsi que des contraintes éventuelles d environnement. La transparence est totale. A vous de choisir les nouvelles fonctionnalités qui vous intéressent et le niveau de «risque» que vous pouvez consentir. En contrepartie, si vous découvrez un bug dans une application, transmettez le problème au développeur sur son site Internet. Vous aurez ainsi la satisfaction de participer également à la vie de la communauté des logiciels libres. Existe- il une assistance à l installation, à l utilisation, au dépannage des logiciels libres? : C est une caractéristique spécifique de la communauté des logiciels libres. Quel que soit votre problème, vous n êtes jamais seul. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 15/51

16 Il existe un grand nombre de sites Internet (y compris, bien sûr, celui des développeurs du logiciel que vous voulez utiliser) qui proposent des tutoriaux et des forums d aide et d assistance. Commencez par chercher si d autres utilisateurs n ont pas rencontré les mêmes difficultés que vous et comment celles-ci ont été résolues. Si vous ne trouvez pas de réponse, n hésitez pas à exposer votre problème (anonymement, si vous le souhaitez). Vous serez surpris du nombre de personnes qui vont se mobiliser pour essayer de vous aider bénévolement Les embûches liées à l utilisation des logiciels libres (et comment les éviter) aspects techniques J ai entendu dire que Linux était très difficile à installer? : Le temps où Linux fonctionnait uniquement en ligne de commande (c est à dire avec des commandes incompréhensibles par un non-initié tapées au clavier sans souris et sans écran graphique) fait définitivement partie du passé. De plus, l installation est considérablement simplifiée si vous utilisez une «distribution» Linux. Qu est ce qu une «distribution» Linux? : Une «distribution» Linux est un ensemble de logiciels comprenant : un système Linux, une interface graphique (ou plusieurs), un automatisme d installation et de paramétrage du système, des utilitaires de gestion du système, un certain nombre de logiciels applicatifs. Plusieurs sociétés proposent ce genre de «distributions» ; les plus importantes sont «Mandriva» (anciennement «Mandrake»), «Red Hat» et «Suse» mais il en existe beaucoup d autres. Les logiciels peuvent être téléchargés sur Internet ou sont disponibles sous forme d ensemble de CD accompagnés d une notice d utilisation vendus pour une somme modique dans des boutiques informatiques. Je conseille vivement d utiliser une de ces distributions. L installation de Linux devient un jeu d enfant (ou presque ) ; les opérations un peu délicates telles que le partitionnement du disque dur se font en toute sécurité. Le paramétrage du système (langage, utilisateurs, reconnaissance des périphériques) se réalise de façon très conviviale. Comment fait-on l installation des logiciels applicatifs? : Auparavant, l installation d application comprenait un certain nombre d étapes : compilation du code source, recherches des «dépendances» (sous-programmes), liaison des dépendances, configuration, installation des modules. Un vrai cauchemar! De quoi décourager la personne la plus motivée! Ces étapes existent toujours mais les créateurs de «distributions» ont incorporé dans celles-ci des utilitaires d installation et de désinstallation qui automatisent complètement les différentes opérations. La très grande majorité des concepteurs de logiciels libres diffusent maintenant leurs programmes sous une forme compatible avec ces utilitaires d installation/désinstallation (les «paquetages»). La coexistence de Linux et Windows sur un même micro est-elle possible? : 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 16/51

17 Tout à fait! Si vous possédez un micro-ordinateur équipé de Windows et que vous disposez d une dizaine de gigaoctets disponibles sur le disque dur vous pouvez créer une «partition» supplémentaire pour accueillir Linux et ses applications. Bien entendu, les deux systèmes ne fonctionnent pas simultanément ; c est au démarrage du microordinateur que l utilisateur choisit le système d exploitation qu il veut utiliser. A noter que Linux est parfaitement capable de lire et d écrire des informations sur la partition réservée normalement à Windows. L inverse n est pas vrai. Windows ignore complètement l existence de Linux sur le même disque dur. Les périphériques (imprimantes, scanners, modems, etc...) que j utilise avec Windows fonctionneront-ils également avec Linux? : Les constructeurs de périphériques fournissent avec leur matériel des petits programmes appelés pilotes (ou drivers) et qui servent au dialogue entre le périphérique et le système d exploitation. La plupart des constructeurs élaborent à la fois des pilotes pour Windows et pour Linux. Il arrive néanmoins que pour des matériels anciens (ou trop nouveaux!) ou à diffusion très limitée, les pilotes Linux ne soient pas disponibles et dans ce cas le périphérique ne pourra pas fonctionner normalement. Il est indispensable, dans le cas d une migration vers Linux, de vérifier que ces pilotes existent et de les télécharger depuis les sites Internet des constructeurs aspects migratoires Quelle stratégie utiliser pour migrer vers les logiciels libres? : Il n y a pas de réponse générale à cette question. La stratégie est à étudier au cas par cas en fonction de vos impératifs d exploitation et des caractéristiques du parc installé. La migration d un parc de quelques machines peut généralement être réalisée en fin de semaine (pendant l arrêt de l activité). Le changement est quasiment transparent pour le fonctionnement de l entreprise. A l opposé, dans une entreprise fonctionnant 7 jours sur 7 et 24 heures sur 24, on préférera probablement migrer poste par poste même si l opération totale couvre plusieurs semaines. Il faut avoir à l esprit que Linux gère parfaitement des réseaux hétérogènes comportant des machines équipées de systèmes d exploitation différents. Néanmoins à terme, l homogénéité du parc est souhaitable pour faciliter la maintenance et les évolutions. Dans tous les cas, définissez précisément et clairement la stratégie que vous allez utiliser et vérifiez, avant le début de la migration, que vous disposez bien de tous les composants logiciels nécessaires aspects psychologiques De quels problèmes parlez-vous? Vous m aviez dit que les programmes tournant sous Linux ressemblent énormément à leurs homologues fonctionnant sous Windows? : C est vrai! Non seulement les fonctionnalités sont les mêmes mais l ergonomie est très voisine. L utilisation de la souris et des raccourcis claviers sont identiques. Le fonctionnement de Linux en mode caractère est révolu (sauf, éventuellement pour l administrateur du système). Néanmoins, ne sous estimez pas l impact psychologique et la résistance au changement. Personne ne vous dira en face qu il est frustré parce qu il n a plus la photo de son dernier-né comme fond d écran ou qu il ne peut plus faire sa partie quotidienne de «Démineur» ou de «Solitaire» après le déjeuner. En lieu et place vous risquez de vous heurter à une critique vague mais systématique («Ca ne fonctionne pas», «Je ne peux plus travailler aussi rapidement», etc ). 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 17/51

18 2.7.5 Bilan La sécurité à l usage des PME et des TPE Pour éviter ce genre de désagréments, prenez les devants. Expliquez aux futurs utilisateurs du nouveau système les avantages pour votre entreprise et pour eux-mêmes. Si possible, trouvez un ou deux «volontaires» curieux de nature et ouverts aux nouveautés et aux évolutions à qui vous prodiguerez une formation détaillée. Ces personnes apprécieront de jouer le rôle de «pionniers» et seront ultérieurement en mesure d aider et conseiller leurs collègues pour les problèmes courants et répétitifs. Dans quels cas, le passage aux logiciels libres est-il souhaitable? : Une configuration avec deux postes de travail autonomes utilisant des logiciels bureautiques standards ne requiert sans doute pas une décision de basculement rapide. C est néanmoins une opportunité de tester les logiciels libres pratiquement sans risques de perturbations. N oublions pas qu il est parfaitement possible de faire coexister deux systèmes d exploitation (Linux et Windows) sur le même micro-ordinateur ; A chaque démarrage, l utilisateur sélectionne le système qu il souhaite activer. La population directement concernée par une migration semble plutôt celle des entreprises disposant de cinq à plusieurs dizaines de postes de travail reliés entre eux par un réseau local. Dans ce cas, les gains en terme de sécurité et d économies de fonctionnement sont les plus rapides et les plus substantiels. La migration vers les logiciels libres me semble intéressante mais j aimerais en faire l expérience sans toucher au système existant. Est ce possible? : Oui, bien sur! Une première solution consiste à utiliser certains logiciels libres disponibles sous Windows (bureautique, navigateurs, ) pour juger de leurs avantages et ensuite les désinstaller si nécessaire (A la différence de certains logiciels commerciaux, tous les logiciels libres que je connais proposent une option de désinstallation et ne laissent aucune trace sur le micro-ordinateur). Bien évidemment dans ce cas, vous ne bénéficierez pas des avantages de sécurité que vous apporte Linux mais vous pourrez au moins juger de la richesse et de la qualité des fonctionnalités offertes. Une autre solution consiste à utiliser une «distribution amovible» (Knoppix par exemple). Il s agit d un CD-ROM sur lequel se trouve un système Linux, une interface graphique et une quinzaine de logiciels d applications générales. Il suffit de placer le CD-ROM dans le lecteur et de démarrer le micro-ordinateur et celui ci va charger automatiquement le système Linux en mémoire sans rien installer sur le disque dur. Les seuls inconvénients sont que les temps de chargement des logiciels sont assez longs (puisque chargés depuis le CD-ROM et non du disque dur) et que les paramètres ne sont pas conservés (à moins de disposer d une clé USB) à l arrêt du système. A l extinction du micro, il ne reste aucune trace de Linux ou des programmes sur le disque dur. Comment dois-je procéder, en cas de décision de migration, pour avoir le maximum de chances de réussite? : Cette question est essentielle, c est pourquoi je l ai gardée pour la fin Il y a un certain nombre d étapes clés qui doivent être systématiquement réalisées même si certaines peuvent être faites très rapidement : Description précise et quantitative de l existant (parc micro, réseaux, logiciels utilisés ) et prévisions d évolution à court terme (un an). Recherche des logiciels nécessaires. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 18/51

19 Elaboration d une stratégie de déploiement. Chiffrement des dépenses et des économies prévues et validation des choix. Mise en œuvre. Validation des résultats. Cette démarche peut être entreprise : Soit par vous-même si vous disposez d un peu de temps et si vous avez quelques connaissances en informatique. Soit en déléguant ce travail à la personne de votre entreprise qui s occupe habituellement du système informatique (sous réserve qu elle soit curieuse et réceptive aux idées d évolutions et qu elle dispose de quelques disponibilités). Soit en faisant appel à un conseil extérieur qui vous apportera sa compétence et son expérience en toute objectivité et sécurité (cette solution s impose pratiquement dès que la taille et les conséquences stratégiques sont importantes). 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 19/51

20 3 LES SERVICES 3.1 CONCILIER SECURITE ET SIMPLICITE D'ADMINISTRATION Auteur : Thierry Rouquet (ARKOON Network Security) [email protected] 3.2 LES ASPECTS DE NOMS DE DOMAINES SUR INTERNET Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected] 3.3 ANALYSE DE RISQUES Auteur : Eleonore Sichel -Dulong (EXEDIS) [email protected] 3.4 POLITIQUE DE GESTION DE VULNERABILITES ET DES CORRECTIFS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected] 3.5 PLANS DE CONTINUITE D'ACTIVITE Auteur : Eleonore Sichel -Dulong (EXEDIS) [email protected] 3.6 LE DEPLOIEMENT DES PATCHS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected] 3.7 LA DETECTION D INTRUSIONS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected] 3.8 EXTERNALISER SA SECURITE? Externaliser la veille stratégique Externaliser la détection d intrusions Externaliser la gestion des outils de sécurité Externaliser la sauvegarde des données Externaliser le site Web institutionnel Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance? Auteur : Gérald Souyri (Thales Security Systems) gerald.souyri@thales -security.com 3.9 LES NOUVELLES INFRASTRUCTURES DE SECURITE ORIENTEES SERVICE Auteur : Michel Habert (Netcelo) [email protected] La sécurité du système d information de l entreprise La sécurité est vitale pour un système d information (SI) sur lequel repose le fonctionnement de l entreprise. Son rôle est de protéger le système d information et de le maintenir à l état opérationnel. Elle constitue un des piliers de l intelligence économique considérée comme un enjeu de compétitivité et qui peut se définir comme la protection et la maîtrise de l information sous toutes ses formes. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 20/51

21 L entreprise s ouvre au monde extérieur. La prise en compte des nouvelles techniques: internet, réseaux à hauts débits, mobilité, convergence est essentielle pour sa compétitivité et sa productivité. Elle doit également s adapter aux changements et aux évolutions qui sont de plus en plus fréquents, en effet les nouvelles techniques sont mises de plus en plus rapidement sur le marché. Le système d information doit être agile et flexible pour s adapter en permanence à toute forme de changement : organisationnelle, technique, fonctionnelle,... La prise en compte de la sécurité d un système d information doit être globale, multi-niveaux et de bout en bout. C est la chaîne de liaison depuis l utilisateur jusqu à l application qui doit être sécurisée. Enfin, la sécurité ne se résume pas à acquérir et à mettre en service des équipements de sécurité, la sécurité; ce sont également des processus. La sécurité demande au-delà de l administration, un suivi qui se traduit par des contrôles, une supervision et une surveillance constants. Ces tâches sont lourdes, complexes et coûteuses à mettre en œuvre car elles doivent être assurées de manière permanente Les infrastructures de sécurité Une infrastructure c est l ossature d un système qui comprend un ensemble de services qui agit dans des domaines : traitements, réseau, données, sécurité, applications. On peut distinguer ainsi dans un système d information, plusieurs types d infrastructures. Un des avantages d une approche de type infrastructure est de traiter un domaine dans sa globalité. Une infrastructure de sécurité globale, multi-niveaux et de bout en bout concerne tous les acteurs et toutes les ressources du système d information : utilisateurs, administrateurs, équipements, réseaux internes et externes. Nous utilisons la terminologie de CPE (Customer Premise Equipment) pour désigner de manière générique un équipement informatique. Un système d information est composé de CPEs connectés à des réseaux (LAN, SAN, WAN). Pour assurer la sécurité, des fonctions de sécurité sont intégrées aux équipements. Pour disposer d une gestion globale de la sécurité dans une configuration d entreprise étendue constituée de plusieurs sites et de points d extrémité distants, l infrastructure de sécurité formée de l ensemble des fonctions de sécurité des CPEs implique l existence d un système de pilotage centralisé appelé Centre d Opérations de Sécurité (SOC). Ce système va également apporter des services complémentaires de sécurité pour compléter les fonctions de sécurité des équipements (CPEs), par exemple des services de PKI, d annuaire, Le niveau de service de la sécurité Que recouvre la sécurité? Si on utilise comme définition de la sécurité : la protection et le maintien du SI à l état opérationnel conformément aux exigences d un objectif de niveau de service, la sécurité dépasse le cadre de la protection, elle comprend également la disponibilité des ressources, les performances et plus généralement la qualité de service qui correspond à un fonctionnement conforme à un niveau de service attendu mesurable grâce à des indicateurs. L élaboration par l entreprise d une politique de sécurité a comme but de définir précisément quel est l objectif de niveau de sécurité pour le système d information. Elle permettra la mise en place d une sécurité adaptée aux besoins de l entreprise Services et domaines Une approche service nécessite une modélisation d un système sous la forme de services. Cette modélisation commence au niveau de l expression des besoins qui devra être faite en termes de service. Sur les plans techniques et fonctionnels des services seront définis sur la base du regroupement en «services» de fonctions fortement couplées. La règle de base pour distinguer deux services est qu ils soient faiblement couplés sinon ils doivent être regroupés. Une deuxième étape est le regroupement de services proches sur le plan fonctionnel en domaines. Un domaine sera supporté par une infrastructure. Une infrastructure de sécurité supporte des domaines de sécurité composés de services de sécurité. Prenons l exemple du domaine de la surveillance. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 21/51

22 Une infrastructure globale de surveillance va supporter toutes les fonctions de surveillance regroupées en services pour tous les domaines du système d information : traitements, réseaux, données. Domaine de la surveillance Surveillance applications Surveillance système Surveillance réseau Surveillance sécurité Infrastructure de surveillance Ressources applications Ressources système Ressources réseau Ressources sécurité Toutes les ressources Figure 1: Les infrastructures orientées service On peut raisonner de manière identique pour d autres services de sécurité comme l identification, les contrôles d accès, la protection périmétrique, la supervision, la sécurité réseau, la sauvegarde des données. La sécurité globale du SI va ainsi se traduire par un ensemble d infrastructures orientées service classées en domaines La gestion des services Un autre aspect des services est la gestion des services. La gestion des services est formalisée par la Méthode ITIL (Information Technology Infrastructure Library). Le «Service Management» représente le cœur de la méthode ITIL qui définit les besoins clients en terme de services. Cette méthode est complétée par la norme BS (British Standard for IT Service Management) destinée à garantir l utilisation effective des meilleures pratiques en gestion de services pour une organisation. Les principes de base d ITIL sont : Focalisation client: qui doit être au centre des préoccupations. Cycle de vie : Les attentes en terme de services doivent prendre en compte toutes les phases d une entité depuis sa création jusqu à sa disparition. Processus : L'approche processus permet de garantir une qualité de service au moindre coût. La gestion des services inclut principalement le support des services et la délivrance des services. Elle se traduit par des services professionnels (help-desk), ainsi que par des services et des processus qui seront intégrés au centre d opérations des services pour le traitement des incidents, la correction des problèmes, la gestion des configurations, les mises à jour, les nouvelles versions, la gestion du niveau de service, la disponibilité, la gestion de la capacité, la continuité des services et la gestion financière Les évolutions des infrastructure Les infrastructures des systèmes d information bénéficient aujourd hui de l avancée des techniques dans de nombreux domaines : processeurs de plus en plus puissants, réseaux LAN et WAN à haut débit, réseaux sans fil, connectivité planétaire grâce à l'internet, capacités de stockage de plus en plus importantes, environnements d intégration (ESB) et architectures orientées service (SOA). Ces avancées facilitent les évolutions des systèmes d informations. La démarche de consolidation est essentielle pour optimiser ces évolutions. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 22/51

23 3.9.7 La consolidation Consolider consiste à regrouper des ressources dispersées dont l utilisation n est pas forcément optimisée et à les réduire si possible en une seule ressource dont l utilisation sera optimisée et plus aisée à gérer.. La consolidation est facilitée par des techniques comme: La convergence, L intégration de services, La virtualisation, les environnements d intégration et les architectures orientés service les services administrés. La convergence La convergence c est par exemple utiliser un seul type de réseau : IP pour transporter tout type d informations : données, voix, video. Mais elle concerne également les protocoles de communication, les infrastructures de traitement (stations et serveurs), les applications, les interfaces graphiques. La convergence a pour but de simplifier les infrastructures et elle exploite les nouvelles techniques comme par exemple les réseaux à haut débit. Dans le domaine des échanges sécurisés, les VPN IPSec construits sur des réseaux IP économiques vont permettre à des PME/TPE de déployer des réseaux d interconnexion à haut débit sécurisés. Les nouvelles techniques de SAN iscsi qui utilisent le protocole IP vont utiliser des équipements IP standards qui vont démocratiser le SAN et les rendre plus simples à déployer et à administrer. La sécurité IPSec du paquet IP est applicable aussi bien aux applications SAN iscsi que pour des interconnexions de site ou des accès distants. L intégration de services Nous allons prendre l exemple de l intégration de services de type réseau et sécurité dans un seul appareil pour assurer à la fois la connectivité et la défense d un site. De plus en plus on voit apparaître sur le marché des CPE avec une architecture tout-en-un. Exemples : Un appareil de sécurité réseau multi-services : routeur, firewall conçu pour la défense d un site intègrera des services réseau : interfaces LAN/WAN, routage, QoS et des services de protection: firewall, VPN IPSec/SSL, IPS (anti-virus réseau), inspection de contenu d applications. Les architectures tout-en-un optimisent le nombre d équipements et facilitent les interactions des fonctions regroupées dans un seul appareil, par exemple : une détection d attaque dans un routeur va déclencher la fermeture de l accès WAN qui a fait l objet de l attaque, l appareil effectuera des corrélations d évènements générés par les différents modules fonctionnels pour ne transmettre que l information strictement nécessaire. La virtualisation La virtualisation consiste à fournir aux utilisateurs des ressources logiques qui sont construites via un niveau d abstraction de virtualisation à partir de ressources ou de fractions de ressources physiques dédiées ou mutualisées. Virtualiser s applique à tout : des serveurs, des postes de travail, des processeurs, des entrées/sorties, des systèmes d exploitation, des réseaux, du stockage, des firewalls, des middleware (ex SAP ACC et Oracle 10g), des infrastructures. Prenons l exemple de la virtualisation d un réseau WAN par un VPN IPSec. Un CPE (routeur VPN) sur les sites A et B d une entreprise permet de construire un VPN (réseau entièrement logiciel) sécurisé IPSec en recouvrement sur une infrastructure physique de réseaux d accès et d interconnexion opérateurs. Ce VPN donne l illusion aux deux sites interconnectés qu ils 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 23/51

24 sont reliés par un réseau local Le VPN se traduit par un tunnel sécurisé dont les extrémités se trouvent sur chaque CPE et qui traverse de bout en bout les réseaux de transport IP empruntés. Site A cpe Réseau de collecte Backbone Opérateur X VPN Backbone Opérateur Y Réseau de collecte cpe Site B internet Site A cpe Tunnel sécurisé cpe Site B Figure 2: Virtualisation de réseaux WAN La virtualisation réseau par VPN IPSEC apporte comme avantages : Un découplage complet des sites de l entreprise vis à vis des réseaux IP physiques qui seront utilisés. Le SI devint ainsi complètement indépendant des réseaux de transport IP utilisés et des opérateurs de ces réseaux. un VPN sécurisé va permettre de sécuriser de manière uniforme avec une seule technique de sécurité qui est la sécurité standard du paquet IP: IPSec les échanges sur tout réseau de transport IP : LAN, WAN, SAN. Les nouvelles architectures d intégration orientées service Les nouvelles architectures d intégration (ESB) orientées service (SOA) qui sont des collections de services permettent de développer de nouveaux services qui s intègrent à l existant. Ces architectures permettent d intégrer facilement des processus, des interfaces de présentation, des interfaces avec des systèmes existants, des services applicatifs, et rendent aisées les évolutions grâce à des outils puissants comme les plates-formes et les outils J2EE ou.net qui minimisent les développements techniques et permettent de se concentrer sur les développements fonctionnels. L usage de ces techniques facilitera le développement de systèmes d administration et de suivi de la sécurité intégrant toutes les composantes de l administration d un SI y compris la sécurité. Si on revient sur l exemple d infrastructure de surveillance, l avantage d une plate-forme J2EE ou.net est d apporter techniquement des composants et des services communs utilisés pour faciliter le développement du logiciel de surveillance du centre d opérations. Les services administrés Un des problèmes de l administration de la sécurité et de son suivi est : qui est derrière la console. La sécurité demande une supervision et une surveillance constantes et des experts pour remédier aux problèmes qui peuvent survenir. Disposer d équipes d administrateurs et d experts représente un coût élevé pour une TPE ou une PME. Une solution économique est le service administré qui mutualise pour plusieurs entreprises l exploitation de leur sécurité. Les avantages qu apporte un service de sécurité administré à une entreprise sont les suivants : fiabilité en terme de suivi de la sécurité opérationnel 24h/24, de mises à jour, d expertise apportée par des spécialistes du domaine de la sécurité. permet à l entreprise de se concentrer sur son cœur de métier, 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 24/51

25 faibles coûts de fonctionnement, l entreprise est totalement déchargée du souci d administrer, superviser et surveiller la sécurité, faibles coûts d investissements : pas d investissements en outils d administration et même équipements de sécurité qui peuvent être loués avec une formule abonnement mensuel, Un système d administration et de suivi de la sécurité mutualisé géré par un prestataire de services de sécurité encore appelé «opérateur réseau» est composé de partitions, chacune affectée aux ressources administrées du SI d une entreprise cliente. Partitions Centre d opérations mutualisé Informations Entreprise A Informations Entreprise B Informations Entreprise C Système d administration et de suivi mutualisé réseau Ressources de l entreprise A Ressources de l entreprise B Ressources de l entreprise C Figure 3: Système d'administration et de suivi mutualisés La consolidation appliquée à la sécurité La table suivante décrit une solution de sécurité réalisée après une démarche de consolidation. Table 1: solutions avec consolidation Services de sécurité Gestion des identifications/ authentifications Exemples de solutions Gestion des accès - Zonage réseau - Utilisation de certificats qui banalisent l identification des utilisateurs et des équipements - Unifier les opérations d identification et d authentification des utilisateurs : Single Sign On. - Annuaire centralisé pour gérer les droits et rôles des acteurs. - Utilisation de cartes à puce Protection des données - Chiffrement VPN (IPSec/SSL) des données échangées sur les réseaux. - Sauvegarde-archivage réseau. - Chiffrement des données critiques des points d extrémité (fichier, répertoire, disque). Défense de site - Protection périmètrique : utilisation de CPE multi-services à la frontière LAN/WAN qui protège le site: firewall, IDS, IPS, VPN, inspection du trafic applicatif 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 25/51

26 Défense des points d extrémité : La sécurité à l usage des PME et des TPE - contrôles d admission réseau pour les accès des points d extrémité au site. - Accès sécurisé au poste de travail : identification/authentification ( exemple : utilisation de carte à puce cryptographique). - Protection périmètrique: firewall, prévention d intrusion, inspection de contenu : anti-virus, anti-spy -ware, anti-spam. - Protection des données: chiffrement, sauvegardes. - Protection du système : analyse comportementale. Disponibilité - Redondance pour les composants réseau, stockage et traitements. Administration Supervision Surveillance Services de sécurité Processus de sécurité - Actions sur le trafic et la QoS réalisée par CPE multi-services. Centre d opérations centralisé et intégré basé sur des politiques et une architecture orientée services. - Support des fonctions d administration : Approvisionnements, configurations dynamiques, gestion des mises à jour. - Supervision des machines, des systèmes, des applications, remise à l état opérationnel après disfonctionnement - Surveillance : Collecte des évènements générés par les CPEs, analyse de ces évènements et corrélations, génération d alertes et construction de rapports. - Services de sécurité PKI, Stockage pour sauvegardes, annuaire, - Processus de sécurité Workflow intégrés au système d administration centralisé et qui déroulent de façon automatisée sur événement ou action opérateur des tâches. Par exemple renouveler les certificats d un appareil dont les certificats vont arriver à échéance. Détails de réalisation Consolidation de l accès Utilisation de cartes à puces avec différents types de lecteurs possibles comme une clé USB pour centraliser les contrôles d accès des utilisateurs au SI. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 26/51

27 Figure 4: Consolidation de la sécurité d accès Consolidation de la sécurité de points d extrémité Une forme de consolidation est l utilisation d un agent de sécurité qui contrôle les logiciels de sécurité du poste pour par exemple autoriser le poste à se connecter au SI de l entreprise. Figure 5: Consolidation administration de défense de point d'extrémité Consolidation de la Défense de site Utilisation d un appareil multi-services qui assure les fonctions de défense de site :VPN ; fireall multiniveaux, prévention d intrusion (anti-virus réseau), inspection de code applicatif, QoS, gestion de trafic. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 27/51

28 Figure 6: Consolidation de la Défense de site Consolidation de l interconnexion sécurisée L utilisation d IPSec et de SSL permet de sécuriser les échanges sur les réseaux internes IP (LAN, SAN) et WAN à l échelle de l'internet et par tout type de réseau d accès filaire ou sans fil, avec une sécurité robuste uniforme. Figure 7: Consolidation de l interconnexion sécurisée WAN Consolidation de l administration de la sécurité Regroupement de services mutualisés: administration : approvisionnement, configuration dynamique, mises à jour supervision surveillance contrôles : audit de vulnérabilités, PKI, Annuaire, Stockage pour sauvegarde, Processus automatisés : gestion du cycle de vie de cartes à puce, de certificats, d alertes, de reprise d activité... Une console déportée permet d opérer ces services sans complexité. Cette console peut être déléguée à un prestataire de l entreprise. Dans ce cas, l entreprise peut se limiter à disposer d une console de supervision. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 28/51

29 Figure 8: Consolidation de l administration de la sécurité Exemple d une démarche de sécurité orientée service pour une TPE/PME Nous allons nous placer dans le cas où l entreprise confie sa sécurité à un opérateur de sécurité prestataire de solutions de sécurité clé en main y compris l administration et le suivi. Table 2 : les étapes Etape 1: Audit du SI Cette étape fait l objet d un état des lieux du SI de l entreprise. Elle consiste à inventorier : - l organisation : les sites de l entreprise (siège, agences,..), les types de communication, la typologie et le nombre d utilisateurs. - Les accès réseaux : la bande passante, les besoins d usage, pour les utilisateurs internes et externes. - Les équipements de traitement : serveurs, stations, unités de stockage,.. - Les besoins spécifiques au métier de l entreprise. Etape 2: Politique de sécurité Etape 3: Choix des techniques Elaboration de la politique de sécurité qui formalise le niveau du service de sécurité attendu pour le SI. Identification des processus, des services et des fonctions/mécanismes de sécurité en adéquation avec le niveau de sécurité requis. Quelques exemples: Services de sécurité - identification/authentification - protection des accès : gestion des rôles, des droits, zonage, - protection des données : sauvegarde, chiffrement, sécurité des échanges réseau 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 29/51

30 - défense des sites et des points d extrémité : firewall, IPS (anti-virus), inspection des données des applications,.., analyse comportementale, tests de vulnérabilités - fonctionnement (disponibilité, performances,..) - administration - supervision - surveillance Processus de sécurité - gestion du cycle de vie des mots de passe, des cartes à puce, des certificats, - gestion des utilisateurs, administrateurs et de leurs droits, - gestion des remises à l état normal du système après un incident (traitements liés aux alertes (exemple réactivation après désactivation, remise en servi ce d un composant après défaillance, reprise d activité après un désastre). - gestion du cycle de vie de l information. Etape 4 : Consolidation et implémentation Etape 5 : Mise en service Etape 6 : Opérations, maintenance et assistance - Etude des solutions de sécurité pour les domaines à couvrir, - Choix des matériels et des logiciels de sécurité, - Construction de l infrastructure. - Enregistrement des politiques dans le système d administration, - Installation et approvisionnement des CPEs, - Activation de la console de service. - Opérations réalisées à partir d une console de service, - Maintenance des équipements, - Assistance en ligne dans les plages horaires et journalières prévues dans le contrat de service Etude de cas Cas d une PME avec les caractéristiques suivantes : Un site central : des postes fixes et connectés en WI-FI, des serveurs, un SAN iscsi avec une unité de stockage, Deux sites secondaires interconnectés au siège de l entreprise Des commerciaux qui se connectent au siège de l entreprise lors de leurs déplacements avec des PC portables. Des partenaires et des clients qui se connectent à partir de postes non maîtrisés Table 3 : solutions Réseau interne site central Une infrastructure IP LAN, SAN Sécurité IPSec sur SAN VPN IPSec sur LAN WI-FI Réseaux externes VPN IPSec pour interconnexion de sites et accès distants 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 30/51

31 VPN SSL pour accès distants à partir de postes non maîtrisés. Défense et disponibilité du site central Une passerelle de sécurité multi-services sur le site central qui centralise les fonctions de défense du site central en interne et en externe, qui est un point de terminaison des tunnels VPN et qui gère la qualité de service du trafic des applications. Défense des sites secondaires Défense des points d extrémité On pourra également envisager une redondance des équipements et des accès pour un taux de disponibilité élevé en cas de défaillance. Un routeur VPN multi-services sur chaque site secondaire qui assure les fonctions de défense du site en interne et en externe et qui est un point de terminaison des tunnels VPN Logiciels de sécurité gérés par un agent qui les contrôle et qui autorise si les contrôles sont bon les connexions réseau du point d extrémité. Centre d opérations des services Centre d opérations externalisé qui télé-administre, supervise, surveille et rend des services de sécurité : PKI, annuaire, processus automatisés de sécurité, audits de vulnérabilité, assistance. Une console de service sur le site central permet au client d opérer les services sans complexité. Ces opérations peuvent être déléguées à un prestataire Figure 9 : Exemple de configuration 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 31/51

32 Conclusion Une infrastructure de services de sécurité mise en place après une démarche de consolidation est une réponse à une recherche de solution de sécurité globale. En faisant appel à des solutions complètes comprenant des services de sécurité administrés rendus par un centre d opérations externalisé, les TPE et PME disposeront de solutions de sécurité robustes à l état de l art, les libérant des choix des techniques à utiliser et des tâches liées à l expertise, à l administration et au suivi de la sécurité. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 32/51

33 4 QUELQUES APPLICATIONS DEVANT ETRE SECURISEES 4.1 L ENTREPRISE SANS FIL Auteur : Michèle Germain (ComXper) [email protected] L entreprise sans fil Et si on enlevait les fils? De bonnes raisons Ils servent à véhiculer les signaux électriques qui transportent voix et données jusqu aux postes téléphoniques et informatiques mais leur installation coûte cher et au fond, sont -ils vraiment nécessaires? De plus en plus, on parle de «sans-fil», de «Wi-Fi», et la petite entreprise, qui démarre et qui peut être amenée à plus ou moins court terme à quitter ses locaux pour de plus vastes, peut légitimement se poser la question de l opportunité d investir dans un câblage. Indépendamment de l aspect coût, l installation dans un immeuble classé peut être soumise à des règles contraignantes sur le câblage et cela donne un intérêt supplémentaire au sans-fil. Lesquels? Le sans-fil peut concerner le téléphone (l autocommutateur ou PBX) ainsi que le réseau informatique (le routeur local). Le raccordement au réseau public est impérativement filaire, en général via une liaison ADSL qui permet de véhiculer à la fois voix et données et qui après filtrage se ramifie en : une ligne téléphonique vers un poste téléphonique ou vers l autocommutateur une ligne informatique vers le routeur ADSL. Une ligne ADSL est suffisante pour couvrir les besoins informatiques d une PME, mais pas ses besoins téléphoniques, puisqu elle ne peut supporter qu une communication téléphonique à la fois. Aussi, on pourra la réserver au fax et prendre quelques lignes téléphoniques simples qui se raccorderont à l autocommutateur. C est en aval de l autocommutateur et en aval du routeur que peut commencer le monde du sans-fil. Réseau Public Ligne ADSL Filtre ADSL Lignes téléphoniques (RNIS ou analogiques) Routeur ADSL FAX PBX Réseau informatique local Réseaux sans-fil Réseau téléphonique local Les risques Les inconvénients connus de la radio sont d une part son aptitude à franchir les limites géographiques de l entreprise et d autre part son comportement capricieux. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 33/51

34 En plus des risques inhérents aux réseaux filaires, l usager sans fil va être confronté à des problèmes de confidentialité, de non-intrusion et de permanence de service liés apportés par la radio L informatique sans fil Point n est besoin de présenter le Wi-Fi, grâce auquel on peut maintenant trouver des accès sans fil à l Internet quasiment n importe où, y compris au café du coin. Tous les ordinateurs récents sont équipés de base d un circuit Wi-Fi. Le Wi-Fi a fait son entrée chez les particuliers, alors, pourquoi pas aussi dans la PME? Définition Wi-Fi est le nom usuel de la norme IEEE qui se décline en différentes variantes. La plus récente et maintenant la plus utilisée est g qui fonctionne dans la bande de fréquences 2,4 GHz. Des compléments à la norme apportent des services additionnels au service de base, tel le i pour la sécurité. Disponibilité du service Un Access Point g couvre typiquement 15 à 70 mètres selon les conditions de propagation. En fait les informations de couverture données par les constructeurs et par la presse doivent être prises avec beaucoup de précautions. Un facteur essentiel est l environnement, la portée étant directement impactée par la topologie des lieux (espace dégagé ou non) et sa nature (présence de murs de béton, armatures et mobilier métallique). D autre part, le débit décroît très rapidement avec la distance ; on peut ainsi annoncer des portées relativement élevées mais trouver au bout un débit ridiculement réduit. Qualité de transmission Le est très sensible aux perturbations radio. De plus il opère dans une bande de fréquence dite ISM (Industry Scientific and Medical) qui, comme son nom l indique a été prévue pour supporter un peu de tout, mais pas spécialement des réseaux de transmission de données. Il faut donc s attendre à des perturbations venant d objets aussi divers que des télécommandes et des fours à micro-ondes. Sécurité On a dit beaucoup de choses sur la sécurité, ou plutôt sur l insécurité, du Wi-Fi. Sa mauvaise réputation est en fait venue d utilisateurs inconséquents qui n ont pas estimé le problème à sa juste valeur, d autant moins aidés par des mécanismes standards (le WEP) largement insuffisants. Depuis cette époque des pionniers malheureux, des progrès ont été faits, tout d abord par la sensibilisation des utilisateurs la problématique de la sécurité, et ensuite par l avènement du standard i qui a enfin doté le Wi-Fi de mécanismes d authentification et de chiffrement sérieux. Il sera fait état plus loin dans cet ouvrage aux mille et une façons de sécuriser son réseau sans fil et le lecteur pourra également se reporter à l ouvrage (Réf. 1) La téléphonie sans fil Outre l absence de câblage, l intérêt est l appareil sans -fil par lui-même, laissant l usager libre de ses mouvements. Une solution triviale consiste à faire abstraction du PBX et d utiliser le GSM. Outre le coût d exploitation qui peut rapidement devenir prohibitif, cette solution n offre que des services téléphoniques basiques et est loin du niveau des services habituels en téléphonie d entreprise. Ceci est donc cité pour mémoire, mais peut néanmoins suffire pour couvrir des besoins basiques et un faible trafic. Une meilleure solution consiste à utiliser un service de téléphonie sans fil sur un autocommutateur et pour cela, deux technologies vont s affronter : le DECT le WLAN, basé sur des techniques Wi-Fi ou autres. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 34/51

35 Chacune a ses particularités et répond de manière différente aux impératifs de la téléphonie qui sont : Le DECT la confidentialité des communications la qualité des communications la permanence de service la gestion de la mobilité. Définition Le DECT est une norme européenne de téléphonie sans fil, largement utilisée pour des services de téléphonie sans fil en entreprise et en résidentiel. C est la norme utilisée maintenant pour la plupart des téléphones sans fil grand public. Il s agit d une technologie mature qui a maintenant fait ses preuves. Le DECT est conçu pour la phonie et ses capacités en matière de transmission de données ne vont guère au-delà du SMS. Disponibilité du service Une borne DECT peut couvrir 50 à 300 mètres selon les conditions de propagation et, selon les offres des constructeurs, supporte typiquement 4 à 12 voies radio, donc autant de communications simultanées. Une borne unique peut être suffisante pour couvrir environ une dizaine de bureaux, mais pour des raisons de permanence de service, il est conseillé d en mettre au moins deux, dont les couvertures pourront ou non se superposer. Confidentialité Il n est pas impossible, surtout dans un contexte d immeubles de bureaux, que des réseaux DECT se jouxtent, voire même se chevauchent. L utilisateur peut craindre pour la confidentialité de ses communications. Le standard DECT intègre de manière native un mécanisme DSAA d authentification mutuelle et de chiffrement qui offre un bon niveau de protection. L authentification du terminal est demandée lors de chaque accès au réseau (inscription, communication) et la clé utilisée pour chiffrer la communication est calculée au cours de cette authentification. Un poste DECT ne peut trafiquer sur un réseau que s il a été préalablement enregistré sur ce réseau. Ceci est une opération d exploitation qui se déroule sur une borne spécialement déverrouillée le temps de l enregistrement et au cours de laquelle le terminal et la borne échangent les éléments secrets issus de l identifiant du réseau et du numéro de série du terminal qui en permettront l authentification. Si deux installations d entreprises différentes sont proches, le mécanisme d authentification garantit que les postes s inscriront uniquement sur le réseau qui leur est autorisé. Il n est donc pas possible à une entreprise d héberger à son insu des postes d une installation extérieure à la sienne. Qualité de la phonie Au point de vue immunité radio, le DECT utilise des fréquences qui lui sont propres (bande 1,9 GHz) et n est donc pas brouillé par d autres équipements radio électriques qui utiliseraient la même bande de fréquences comme le Wi-Fi. Bien que le DECT possède une très bonne immunité aux interférences, des perturbations sont toujours possibles. Aussi, le DECT intègre des processus dynamiques d allocation de canal libre et non brouillé, ce choix étant modifiable en cours de communication. La bande passante est divisée en 120 canaux radio qui ouvrent une capacité de 120 communications simultanées (tous réseaux et toutes bornes en un lieu donné, sachant que de toute façon le trafic ouvert à une entreprise en un lieu donné est limité à la capacité radio des bornes qui lui appartiennent et qui couvrent ce lieu). Une communication occupe un plein canal à elle seule et pendant toute sa durée (on parle de «mode circuit»). Une fois la limite de 120 canaux atteinte, le réseau n accepte plus de communication supplémentaire, ce qui garantit le maintien de la qualité des communications déjà établies. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 35/51

36 Permanence de service La sécurité à l usage des PME et des TPE La capacité de 120 canaux est par contre partagée dynamiquement entre les différentes installations en présence. Il n est donc pas exclu, bien que rare vu la capacité disponible, qu une entreprise sature temporairement le réseau au détriment des autres. Toutefois, ceci ne pouvant se produire que dans les zones où les réseaux se recouvrent, le déplacement d une borne suffit généralement à éliminer cet inconvénient. Mobilité Un usager sans fil étant susceptible de se déplacer, le DECT supporte de manière native les fonctions de hand-over et de roaming. Le roaming permet à l usager de disposer du même niveau de service en tout point de son réseau (à ne pas confondre avec la fonction de roaming international du GSM). Le hand-over permet de maintenir une communication en cours, soit en changeant de borne radio au cours des déplacements de l usager, soit en changeant de canal radio si celui qui est couramment utilisé est soumis à des perturbations radioélectriques. Services Le standard DECT définit les services téléphoniques de base. Le terme DECT/GAP se réfère à un sous-ensemble du protocole qui définit le minimum indispensable pour garantir l interopérabilité d équipements de constructeurs différents et intègre des procédures d échappement vers des services supplémentaires (keypad/display) propriétaires. Recommandations d installation Les bornes DECT se raccordent au PABX par des fils. Là il n est pas possible de faire autrement, mais pour une entreprise de faible superficie, le nombre de bornes étant largement inférieur au nombre de postes d usagers, le gain sur le câblage reste conséquent. Il convient de ne pas mettre les bornes n importe où et de choisir des endroits qui donneront la meilleure couverture radio. Il existe à cet effet des outils d aide à l installation qui permettent de disposer les bornes de manière optimale. Même s il n y a pas de risque au point de vue confidentialité, il est préférable de positionner les bornes afin de minimiser les émissions radioélectriques hors de l entreprise : pas besoin de partager la capacité de trafic avec les voisins, et d autre part il ne faut pas perdre de vue qu il est interdit d émettre dans le domaine public, donc dans la rue (par contre, il est autorisé de couvrir les parties extérieures du domaine privé, par exemple les parkings). Enfin, par sécurité, il est recommandé de garder une ligne filaire sur l autocommutateur sur laquelle il sera possible de brancher un poste téléphonique filaire en cas d indisponibilité du réseau sans fil. Cette prise pourra raccorder le fax en temps normal La téléphonie sans fil de type WLAN Recommandations 4.2 TOIP ET SECURITE Auteur : Frédéric Hubert (Thales) : [email protected] et Alexis Ferrero (Orbitiq) [email protected] 4.3 LA SIGNATURE ELECTRONIQUE Auteur : Gérard Péliks (EADS) [email protected] Les deux piliers de cette technologie Pour comprendre la signature électronique il est nécessaire de connaître quelques rudiments sur deux technologies : le hachage et le chiffrement asymétrique. Le hachage transforme une chaîne de caractère de longueur quelconque en un nombre de longueur fixe appelé le condensat. Par exemple une fonction de hachage transformera la chaîne de caractères «la sécurité à l usage des PME et des TPE» en le condensat 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 36/51

37 « ». Cette même fonction de hachage transformerait l ensemble de ce livre en le condensat « ». Bien entendu, à partir du condensat, il n est pas possible de retrouver la chaîne de caractère correspondante, mais là n est pas le but. On peut supposer que si le condensat est de longueur suffisamment élevée, chaque chaîne de caractères traitée par la fonction de hachage donnera un condensat différent. Ainsi ce condensat caractérise la chaîne de caractères qui l a créé. Si l on change ne serait-ce qu un espace ou une virgule dans la chaîne de caractères, le condensat résultant du traitement par la fonction de hachage sera complètement différent. Ici la longueur du condensat est de 8 chiffres Le chiffrement asymétrique repose sur un couple de clés, une clé privée détenue par un utilisateur et une clé publique correspondant à la clé privée, qui peut être distribuée à tout le monde. Une bi-clé : la clé privée que l utilisateur garde et la clé publique correspondante que l utilisateur distribue L utilisateur garde prudemment sa clé privée, qui doit rester connue de lui seul, si possible sur un média tel qu une carte à puce. La clé publique correspondante, qui comme son nom le laisse supposer n est pas un secret, peut être distribuée largement à tous ceux qui en ont besoin. Il n est pas possible, à partir d une clé publique de reconstituer la clé privée correspondante. Quand quelqu un chiffre avec une clé publique, seul le détenteur de la clé privée correspondante pourra déchiffrer le message. Quand l utilisateur chiffre un message avec sa clé privée, tous ceux qui possèdent la clé publique correspondante pourront déchiffrer ce message, et seront sûrs que le message a été chiffré par l utilisateur puisqu il est le seul à posséder la clé privée à laquelle la clé publique correspond. C est ce dernier principe qui est utilisé dans la signature électronique. Ici le message en clair est chiffré avec la clé privée de l utilisateur 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 37/51

38 Le message chiffré est déchiffré avec la clé publique de l utilisateur correspondant à sa clé privée Le problème est de prouver que la clé publique d un utilisateur est bien celle de cet utilisateur et correspond donc bien à la clé privée qu il détient. Ceci est rendu possible par un certificat. La clé publique est envoyée dans un certificat prouvant, en particulier l identité de son propriétaire (celui qui détient la clé privée correspondant à la clé publique) et ses dates de validité. Ce certificat est signé par une autorité de certification à qui tout le monde fait confiance. La clé publique est distribuée dans un certificat qui atteste ses dates de validité et son appartenance à celui qui détient la clé privée correspondante La signature électronique en théorie Les deux notions, hachage et chiffrement asymétrique étant comprises, la signature électronique d un document est d une agréable simplicité. Le condensat chiffré est ajouté au message et constitue sa signature On passe le message à signer par l algorithme de hachage qui donne un consensat qui caractérise ce message. Si ne serait-ce qu un accent du message est changé ensuite, le condensat obtenu par le même algorithme de hachage sera différent. On chiffre ce condensat par la clé privée du signataire pour obtenir un condensat chiffré. Seul le signataire peut effectuer cette opération puisqu il est seul à posséder cette clé privée qui caractérise donc le signataire. On envoie le message avec son condensat chiffré. Ni le message, ni le condensat ne sont ici confidentiel. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 38/51

39 Si le condensat déchiffré correspond au condensat recalculé, la signature est établie Le certificat du signataire envoyé par lui ou trouvé dans un annuaire électronique de certificats contient la clé publique du signataire (correspondant donc à sa clé privée) et contient aussi l algorithme de hachage utilisé pour calculer le condensat ainsi que l identité du signataire. On passe le message par l algorithme de hachage pour obtenir un nouveau condensat du message reçu. Grâce à la clé publique, on déchiffre le condensat chiffré accompagnant le message. Si le condensat déchiffré obtenu est le même que le condensat recalculé, le message est réputé avoir été signé. Qu a t on prouvé en signant un document? Que le document n a pas été modifié car cela se serait vu sur le condensat recalculé. Que le signataire est bien celui qu il prétend être car lui seul a pu chiffrer le condensat avec la clé privée que lui seul détient, car le condensat chiffré joint au message a été déchiffré par la clé publique du signataire trouvée dans un certificat lui-même signé par une autorité de confiance. Il est aussi possible d inclure une fonction d horodatage qui donnera la date de la signature La signature électronique en pratique Même si l aspect théorique de la signature électronique a pu paraître un peu complexe, son utilisation pratique est très simple, la seule tâche pour l utilisateur est de demander un certificat à une autorité réclamant l usage de cette signature, telle que le greffe du tribunal de commerce de Paris ou l administration fiscale. En même temps que le certificat, votre clé privée vous sera donnée et sera placée soit sur un support sécurisé comme une carte à puce ou une clé USB, soit sur votre disque, mais alors protégé par un mot de passe. Où mettre le certificat? Le problème ne se pose pas, on vous fournit un utilitaire qui, exécuté s occupe de placer le certificat et la clé privée là où il faut pour que par exemple votre navigateur ou votre logiciel de messagerie puissent signer votre document par un simple clic de votre souris Mais est-ce bien légal et reconnu? Il est bien évident qu une signature électronique accompagnant un document n aurait pas grande valeur si elle n avait de reconnaissance légale par le pays d où elle est émise et par le pays où elle est lue. La directive européenne du 13 décembre 1999 sur le cadre communautaire pour les signatures électroniques reconnaît à la signature électronique la même valeur légale que la signature papier. Un document dématérialisé, signé électroniquement est ni plus, ni moins légal que le même document sous format papier et paraphé au stylo. Cette directive européenne a été transposée en France dans la loi du 13 mars 2000 et dans le décret d application du 30 mars Les autres pays de l Union européenne ont pour la plupart aussi adopté cette directive européenne dans leurs législations. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 39/51

40 Reste une petite précision qui a son importance, nous avons vu que l authenticité du signataire est attestée par un certificat, qui rappelons, contient la clé publique correspondant à la clé privée que seul le signataire détient. Qui et dans quelles conditions le certificat est délivré déterminent la validité de la signature. Pour qu une signature électronique soit reconnue comme légale, il faut que le certificat soit qualifié. Le certificat est qualifié si par exemple on ne vous le décerne qu en main propre après avoir constaté de visu que vous êtes bien celui que vous prétendez être et après fourniture par exemple d un extrait du KBIS pour authentifier votre société. Les responsabilités des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés sont précisées par l article 33 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique L avenir de la signature électronique 4.4 LA SECURITE DES OUTILS NOMADES L ordinateur portable Le PDA Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected] Les téléphones mobiles Auteur : Alexis Ferrero (Orbitiq) [email protected] 4.5 LE VOTE ELECTRONIQUE Auteur : Gérard Péliks (EADS) [email protected] 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 40/51

41 5 L ASPECT HUMAIN DE LA SECURITE 5.1 COMMENT INFLUER SUR LES COMPORTEMENTS A RISQUES? Auteur : Pierre-Luc Refalo (Comprendre et Réussir) [email protected] 5.2 QUELLE POLITIQUE DE SECURITE POUR UNE PME? Auteur : Pierre Gojat (France Télécom SCE/DGC) [email protected] 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 41/51

42 6 L ASPECT ECONOMIQUE DE LA SECURITE 6.1 LA GESTION DE CRISE POUR UNE PME PMI Auteur : Hervé Schmidt [email protected] 6.2 ASSOCIEZ VOTRE BUDGET SECURITE A VOS ENJEUX Auteur : Dominique Meurisse (Netasq) [email protected] 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 42/51

43 7 L ASPECT JURIDIQUE DE LA SECURITE 7.1 LES NOUVELLES REGLES JURIDIQUES DE LA CYBERCRIMINALITE: VICTIME DONC RESPONSABLE Auteur : Olivier Iteanu (Cabinet d avocats Iteanu) [email protected] 7.2 A QUI S ADRESSER APRES UNE ATTAQUE? 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 43/51

44 8 DIX MESURES CONCRETES POUR SECURISER VOTRE PME CONNECTEE Auteur : Mauro Israel (Le Netwizz) [email protected] Contrairement aux grandes et moyennes entreprises, la PME, l'entrepreneur individuel, le commerçant et la profession libérale n'ont ni les moyens humains, ni le temps, ni les budgets pour procéder à une sécurisation de leur informatique. Les dirigeants se concentrent d'ailleurs sur leur métier, et considèrent l'informatique comme un outil pratique pour améliorer leur efficacité... sauf lorsque les ordinateurs ou la messagerie sont plantés par une attaque virale, ou la connexion à Internet ne fonctionne plus. Alors "l'ex-outil pratique" déclenche des réactions d'énervement et des appels effrénés chez tous les fournisseurs, -qui n'y peuvent rien car ils ont une vision partielle du système- ce qui augmente en général l'énervement jusqu'à parfois l'hystérie collective! Ma longue expérience des PME et des TPE, commerçants, professions libérales, m'a permis de dresser une "check-list" pratico-pratique des actions à mener pour renforcer la sécurité de votre informatique sans dépenser des millions et sans perdre de temps. Cette liste est issue des nombreuses interventions "amicales" lors de dîners ou d'invitations, où -comme les médecins- je suis souvent amené à donner une consultation gratuite: "Au fait, comme tu t'y connais en informatique, peux-tu m'expliquer pourquoi j'ai vingt fenêtres qui s'ouvrent avec des pubs dans mon navigateur?" ou bien "Depuis que j'ai mon abonnement WIFI, je trouve que ma liaison à Internet est ultra lent e surtout vers 16h30-17h" Le premier est victime de "spywares", des "bestioles" qui espionnent le contenu du disque dur et transmettent ces infos à des régies publicitaires, voire à des pirates, ce qui déclenche l'ouverture inopinée de fenêtres publicitaires non désirées sur votre écran... Ces spywares sont rarement interceptés par un anti-virus, même à jour, et nécessitent donc un traitement adéquat, appelé antispyware... Le deuxième a laissé son accès Wi-Fi configuré par défaut, et des étudiants à la sortie du collège à proximité en ont profité pour squatter depuis la rue avec leur portable la connexion ADSL de l entreprise... En effet, les ondes radio se répandent aussi à l'extérieur des murs de l'entreprise! La solution est la sécurisation de l'accès Wi-Fi. Ci-après vous avez donc, dix «maladies» classiques, et la manière de les résoudre. La plupart des "remèdes" ne coûtent rien et sont aisés à mettre en oeuvre avec un minimum de connaissances, sinon demandez à un "ami informaticien"! Les problèmes sont scindés en 4 catégories: les éléments de sécurité que vous n'avez pas encore, ceux qu'il faut renforcer, les méthodes à améliorer et enfin la protection des données. 8.1 CE QUE VOUS N'AVEZ PEUT-ETRE PAS ENCORE: 1 - Anti-spyware Vous allez surfer sur Internet et trouvez un magnifique «screen saver» Aquarium et vous le téléchargez : En fait, vous venez de télécharger un spyware (ou publiware dans ce cas), qui va s installer sur votre ordinateur et va déclencher des fenêtres publicitaires. Au bout de quelques mois de téléchargements de ce type vous serez «infesté» de logiciels espions et votre ordinateur va devenir de plus en plus lent, voire ne va plus réussir à fonctionner correctement. On va devoir reformater toute la machine et tout réinstaller! Le vrai remède est de lancer un anti-spyware et de décontaminer tout le disque dur ; Mon record est de 8440 fichiers contaminés trouvés sur un ordinateur! Le problème des spywares est que les anti-virus classiques ne les détectent pas et que dès qu ils sont installés, même en les détruisant, ils vont se reconnecter au site contaminant pour se recharger et ainsi de suite Il faut donc à la fois décontaminer le disque mais aussi empêcher des nouvelles contaminations avec un module de protection en temps réel. Prévenez dans la foulée les utilisateurs de ne pas télécharger n importe quoi depuis Internet, en particulier les «gratuits» logiciels, les musiques, les films, les économiseurs d écrans. C est comme cela que les spywares se répandent le plus efficacement. Ciaprès les liens pour télécharger les anti-spywares les plus connus. A titre d exemple «ad aware» a été téléchargé par plus de 125 millions d internautes dans le monde ( au 4 mai 2005)! 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 44/51

45 A noter l initiative de Microsoft qui vient de racheter une solution renommée d anti-spyware et qui la met gracieusement à disposition des heureux possesseurs de Windows (2000 ou XP) Voir chapitre «bibliographie et références» Une fois le logiciel téléchargé lancez-le et regardez le résultat; Combien de spywares aviez-vous sur votre disque? ça fait frémir Enfin, maintenant vous êtes protégés. 2 - Firewall personnel De la même manière qu un anti-virus ne protège pas des spywares, il ne protège pas non plus des attaques des pirates A travers votre connexion Internet, des pirates cherchent à avoir accès à votre ordinateur et à le transformer en «zombie», c'est-à-dire à prendre son contrôle à distance. Pourquoi ces gens-là iraient s attaquer à ma PME de fabrication de chaussettes plutôt qu au Pentagone? En fait, les pirates «scannent» systématiquement toutes les machines connectées à Internet et ne savent pas s il s agit d un site ultra confidentiel ou d un site sans intérêt pour eux. Il se trouve que là c est vous la cible et vous n y pouvez rien. Depuis que vous avez votre connexion ADSL, vos ordinateurs sont connectés en permanence à Internet, ils sont donc exposés d avantage que lorsque vous vous connectiez de temps en temps avec un modem. La solution est de mettre un logiciel «pare-feu» (ou firewall en anglais) qui va filtrer les accès à votre ordinateur depuis internet. Une fois bien configuré ce pare-feu va protéger votre machine en rejetant les tentatives illicites et en masquant votre système vis-à-vis de l extérieur. Là encore, l initiative sécurité de Microsoft qui a ajouté un firewall personnel dans sa mise à jour de Windows XP : service pack 2. L autre intérêt est lorsque vous vous connecterez avec votre ordinateur portable depuis un hôtel ou un site externe, vous ne serez pas non plus une victime des attaques des pirates, et ne pourrez pas contaminer votre entreprise en rebranchant votre machine au réseau à votre retour. Voir chapitre «bibliographie et références» 8.2 CE QU'IL FAUT RENFORCER: 3 - Firewall sur la connexion ADSL De la même manière que chaque ordinateur (notamment les portables) doit être protégé avec un firewall, le boîtier de connexion à l ADSL de votre site dispose certainement d un firewall ; Encore faut-il l activer! Pour la Freebox par exemple, allez sur la console sur le site Free et activez la fonction «routeur» et ensuite activez le NAT (translation d adresses). C est le minimum de protection, qui ne fera plus apparaître vos machines «en direct» sur le net. Sur les routeurs ADSL du marché il y a toujours une fonction «firewall», et on accède à la console d administration à l aide d un simple navigateur. Regardez la doc et activez le firewall! Voir chapitre «bibliographie et références» 4 - Anti-virus / anti-spam et webmail pour la messagerie 5 - Accès WIFI Depuis que les points d accès sans fil ont fait leur apparition, un autre «sport» fait des ravages : le «war driving» ; Il s agit de circuler en voiture muni d un ordinateur WIFI et de repérer tous les points d accès qui n ont pas de protection, puis d en diffuser la carte sur Internet A Paris en 2004, plus de 30% des points d accès n ont aucune protection et peuvent être utilisés depuis la rue pour accéder à Internet ou bien aux ordinateurs que contient l entreprise. Que faire? Changez avant tout la configuration par défaut : dans de nombreux cas, le login est «admin» et le mot de passe «password»! Changez immédiatement le mot de passe d administration. Ensuite changez le nom (SSID) du boîtier en mettant un nom différent de «default» ou de par exemple «wanadoo_123456». Mettez le nom de votre entreprise et cochez «hidden» c'est-àdire «caché». Ceci permettra d éviter que quelqu un s y connecte par hasard. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 45/51

46 Activez le cryptage WEP (ou si disponible WPA). Lors de la connexion au point d accès WIFI, l utilisateur devra fournir un mot de passe que seul vous connaîtrez. Cela compliquera singulièrement la tache des pirates. Voir chapitre «bibliographie et références» 8.3 RENFORCEMENT DES METHODES: 6 - Hébergement et nom de domaine Voir chapitre «bibliographie et références» 7 - Sauvegardes et contrôle à distance Voir chapitre «bibliographie et références» 8 - Administration: mots de passe sous enveloppe scellée 9 - Mise à jour de sécurité : les patches Voir chapitre «bibliographie et références» 8.4 PROTECTION DES DONNEES: 10 - protection des ordinateurs portables: Accès à la machine, mémoires USB, cryptage des données du disque et SSO. Muni de ces conseils pratiques, nul doute que vous allez maintenant foncer renforcer votre sécurité informatique! La plupart de ces logiciels ou de ces mesures ne coûtent rien, ou pas grand chose, ce qui correspond bien au budget des PME! Pourquoi je vous indique ces éléments? Parce que je suis persuadé que la sécurité globale sur Internet repose sur l amélioration de la sécurité des maillons les plus faibles : en fait les particuliers et les petites entreprises. En renforçant votre sécurité, vous allez donc contribuer à un meilleur Internet pour tous, et ainsi j y aurai contribué ;-) Nota bene : Les liens et les produits cités ici sont valides en mai 2005, moment de la rédaction de ce document. Je n ai aucun intérêt direct ou indirect avec les sociétés référencées. Il s agit juste de liens qui vont vous permettre de télécharger gratuitement ou quasi gratuitement des logiciels permettant de renforcer votre sécurité ; Bien entendu, dans certains cas, il faudra payer (un peu) pour avoir la version «pro» ou les mises à jour. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 46/51

47 9 BIBLIOGRAPHIE ET REFERENCES 9.1 GENERAL (Réf. 1) La Sécurité à l Usage des Décideurs (Collection TENOR) ISBN (Réf. 2) Guide de sensibilisation à la sécurisation du système d information et du patrimoine informationnel de l entreprise Medef Direction Innovation, Recherche et Nouvelles Technologies (Réf. 3) Le business de la cybercriminalité - Franck Franchin - Rodolphe Monnet - Edition Hermes Science (Réf. 4) (Réf. 6) (Réf. 7) JURIDIQUE (Réf. 8) (Réf. 9) (Réf. 10) (Réf. 11) Livre Tous Cyber Criminels de Olivier Itéanu (Laffont éditeur) ISBN LES POINTEURS DE MAURO ISRAEL (voir chapitre : les 10 mesures concrètes) (Réf. 12) Les anti spyware AD-AWARE ANTI-SPYWARE Microsoft 2-6A57-4C57-A8BD- DBF62EDA9671&displaylang=en SPYBOT Search & Destroy (Réf. 13) Les firewalls personnels Service Pack 2 pour Windows XP SYGATE ZONE ALARM (Réf. 14) Les firewalls sur la connexion ADSL CHECKPOINT 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 47/51

48 FREE (Réf. 15) Accés Wi-Fi CHECKPOINT (Réf. 16) Hébergement et nom de domaine NETWORK SOLUTIONS DYNDNS (Réf. 17) Sauvegardes et contrôle à distance ULTRAVNC (Réf. 18) Mise à jour de sécurité : les patches WINDOWS UPDATE 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 48/51

49 10 GLOSSAIRE 10.1 ACRONYMES ADSL DECT DSAA ISM LDAP MEDEF PBX PGI PKI PME ROI SI SOA SSO TPE VoIP WLAN 10.2 DÉFINITIONS Certificat CNIL CPE Intranet SOC WiFi Asymmetric Digital Subscriber Line Digital Enhanced Cordless Telephone DECT Standard Authentication Algorithm Industry Scientific and Medical Lightweight Directory Access Protocol Mouvement des Entreprises De France Private Branch Exchange Progiciel de Gestion Intégrée Public Key Infrastructure Petite et Moyenne entreprise Return on Investment (Retour sur Investissement) Système d Information Architectures Orientées Services Single Sign On Très Petite Entreprise Voice on IP (Voix sur IP) Wireless LAN Fichier contenant divers renseignements qui permettent d authentifier un utilisateur, avec en particulier son nom, sa société, l autorité de confiance qui a signé ce certificat, les dates de validité du certificat, la clé publique qui va permettre de chiffrer / déchiffrer lors d un chiffrement asymétrique et une partie chiffrée qui permet d en contrôler l origine. La Commission Nationale de l Informatique et des Libertés est une autorité administrative indépendante à qui toute action de constitution de liste nominative doit être communiquée. Voir Customer Premise Equipment) désigne de manière générique un équipement informatique Réseau interne de l entreprise dont les applications utilisent les protocoles réseaux de l Internet (protocoles IP). Le Centre d Opérations de Sécurité est un système de pilotage centralisé de la sécurité Label délivré par le WECA qui garantit l'interopérabilité des équipements radio répondant au standard Par extension de langage, désigne le standard lui-même. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 49/51

50 11 CONTRIBUTIONS A L ECRITURE DE CE LIVRE Classés par ordre alphabétique des noms des auteurs Prénom, Nom mél Fonction, Société, Web Contributions Marie-Agnès Couwez [email protected] Alain Germain [email protected] Michèle Germain [email protected] Michel Habert [email protected] Mauro Israel [email protected] Gérard Peliks [email protected] Consultant Idsoft agsoft.free.fr Consultante ComXper comxper.free.fr Directeur Technique Netcelo Chief Security Officer Le Netwizz Coordinateur de ce livre EADS Pourquoi et pour qui ce livre? La gestion des identités Se sécuriser par des logiciels libres? L entreprise sans fils Les nouvelles architectures de sécurité orientées services Dix mesures concrètes pour sécuriser votre PME connectée La stéganographie La signature électronique 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 50/51

51 Copyright etna France 2005 Collection Tenor Les idées émises dans ce livre n engagent que la responsabilité de leurs auteurs, et pas celle de l etna France. La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en citer la source comme suit etna France 2005 La sécurité à l usage des PME et des TPE. L'utilisation à but lucratif ou commercial, la traduction et l'adaptation de ce document sous quelque support que ce soit sont interdites sans la permission écrite de l etna France. 14 juin 2005 etna France Voir en dernière page pour les droits de reproduction 51/51