Les outils Internet grand public de communication et les risques pour (le SI de) l entreprise



Documents pareils
L identité numérique. Risques, protection

CHARTE INFORMATIQUE LGL

Recommandations pour l utilisation des services gratuits sur Internet

Le travail collaboratif et l'intelligence collective

Bureau de développement des télécommunications (BDT)

LES OUTILS DU TRAVAIL COLLABORATIF

Internet Découverte et premiers pas

Facebook. Un lien vers Facebook se trouve sur la page d accueil du site CSQ :

Coopérer au quotidien

INTERNET, C'EST QUOI?

TP 2 : ANALYSE DE TRAMES VOIP

Club informatique Mont-Bruno Séances du 18 janvier et du 17 février 2012 Présentateur : Michel Gagné

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION

Numérique. Mon Université.

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

C2i B6 - Échanger et communiquer à distance

Les Fiches thématiques la Visio Conférence

Cette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.

Retour d expérience Sénalia. Comment migrer progressivement vers Microsoft Office 365?

Fax sur IP. Panorama

Internet Le guide complet

FAQ messagerie CRI Université de Bourgogne

Travail collaboratif. Glossaire

Comment configurer votre compte de messagerie BlackBerry? Qu est ce que les solutions BlackBerry?

Sommaire. Le quotidien du Service informatique. Qu est-ce que Panda Cloud Systems Management? Le cercle vertueux

PHILLIPS INTERNET COMMUNICATION C EST...

PROGRAMME PROVISOIRE. Degré 9 (1CO)

Manuel d utilisation de Form@Greta

Crédits... xi. Préface...xv. Chapitre 1. Démarrer et arrêter...1. Chapitre 2. L interface utilisateur...25

Glossaire. Acces Denied

Portail collaboratif Intranet documentaire Dématérialisation de processus

Politique de certification et procédures de l autorité de certification CNRS

Caruso33 : une association à votre service

Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle

Concept Compumatica Secure Mobile

Charte d'utilisation des systèmes informatiques

TP 1 Outils collaboratifs de base

Une solution de sauvegarde complète pour les PME : BackupAssistv5

Performance des campagnes de liens sponsorisés sur la vente en ligne

Principe de la messagerie électronique

Atelier n 12 : Assistance à distance

UCOPIA EXPRESS SOLUTION

Term Professionnelle Micro informatique & Réseaux Installation et Maintenance Lycée Saint Joseph Vannes

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Quel outil numériques pour répondre à un besoin de communication dans un projet collectif?

les outils du travail collaboratif

Voix sur IP. Généralités. Paramètres. IPv4 H323 / SIP. Matériel constructeur. Asterisk

Ingénierie des réseaux

Créer et animer une boutique en ligne avec Wordpress (environnement PC et MAC)

Comment espionner un portable

La Qualité, c est Nous!

GEWISS FRANCE S.A.S. CODE D ETHIQUE INFORMATIQUE

Notions de sécurités en informatique

Questions fréquemment posées par les candidats externes

BE-TME Questions série 0

Utilisateurs mobiles sur site

10 points clés pour bien démarrer votre projet web

SESTREAM. Nos valeurs

Jean-Luc Archimbaud. Sensibilisation à la sécurité informatique.

Mise en place d un service de voix sur IP

Politique et charte de l entreprise INTRANET/EXTRANET

Taille d entreprise Moins de 50 salariés 0% De 50 à 250 salariés 40% De 251 à salariés 40% Plus de salariés 20%

(In)sécurité de la Voix sur IP [VoIP]

QU EST-CE QUE LA VOIX SUR IP?

Métrologie réseaux GABI LYDIA GORGO GAEL

LES RESEAUX SOCIAUX SONT-ILS UNE MODE OU UNE REELLE INVENTION MODERNE?

Brevet informatique et internet - Collège

Démonstration Google Apps. Christophe Thuillier Avril 2010 Arrowsoft

Lexique informatique. De l ordinateur :

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Internet et Big Brother : Réalité ou Fantasme? Dr. Pascal Francq

Comment l'assistante peut jouer son rôle au sein d'entreprises de plus en plus nomades. Christine Harache

Six innovations technologiques anti-nsa qui pourraient bien

Créer son adresse

La gamme express UCOPIA.

Comment paramétrer manuellement mon mobile pour accéder à la 2G/3G+ et configurer mes s?

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

14 Adopter une attitude professionnelle

PREMIÈRES RENCONTRES DES ETATS GENERAUX PERMANENTS DU RESEAU DES LIVING LABS ET ESPACES FRANCAIS DE l INNOVATION Montbéliard (19-20 juin 2012)

Foire aux questions sur l application Bell Télé

ESPACE NUMERIQUE DE TRAVAIL DU LYCEE LYAUTEY LCS SE3

Les items explicités. Pistes de justifications de demandes en cours de français-histoire-géographie. Guillaume HAINAUT

Workflow et Service Oriented Architecture (SOA)

Accord d Hébergement Web Mutualisé

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Messagerie instantanée

18 TCP Les protocoles de domaines d applications

Quels outils bureautiques sont actuellement à la disposition des PME?

Mesurer et analyser le trafic d un site internet Comment analyser l audience de son site et connaître les centres d intérêts des visiteurs?

Se protéger des Spams

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

Le filtrage de niveau IP

demander pourquoi mon site n'apparaît pas sur google ou pourquoi mon site n'est pas référencé par les moteurs de recherche?

Outils de développement collaboratif

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Présentation de la structure Enjeux Présentation du projet Cible... 4

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Transcription:

Les outils Internet grand public de communication et les risques pour (le SI de) l entreprise Jean-Luc Archimbaud CNRS/UREC http://www.urec.cnrs.fr EUROSEC 3 avril 2006 Intervention technique qui n est pas un message officiel du CNRS

Plan Pourquoi cette préoccupation? Quelle attitude démarche? Eléments à étudier / outil Que faire?

Pourquoi cette préoccupation? Les outils de communication Internet très conviviaux se multiplient. Exemples : Forums (anciens) : listes de diffusion, News Webs collaboratifs : Wiki Webs personnels : Blog Messagerie instantanée (chat) : IRC, MSN messenger Téléphonie (VoIP): Skype Partage de fichiers (téléchargements) : Kazaa Ainsi que l hébergement externe de données personnelles Boites aux lettres, adresses, espace disque Exemples : Blackberry, Gmail (et services avancés Google) Cette présentation traite de ces logiciels et des services rendus -> outils

Pourquoi cette préoccupation? Nombreux avantages : Beaucoup sont gratuit : logiciels ou hébergement de service L installation d un client sur un poste personnel est à la portée de tous Ils peuvent avoir une utilité pour les activités professionnelles Ou entrer dans la limite admise d utilisation de l Internet sur les lieux de travail pour un usage personnel Utilisés par le «grand public» Avant les professionnels de l informatique Leur utilisation est intensive dans la jeunesse : futurs recrutés par les entreprises Ces outils sont (seront) utilisés par des salariés sur leur ordinateur professionnel ou pour leurs données professionnelles Ce sont de nouvelles vulnérabilités pour les systèmes d information d entreprise

Quelle attitude - démarche? Interdire tous ces outils dans l environnement professionnel (et les ignorer) Mais ce peut être : Impossible : manque de moyens Administration des machines personnelles, surveillance réseau, ou/et d autorité effective Plus dangereux que d en accepter certains Contournement délibéré des règles, création de réseaux parallèles, Proposition : évaluer méthodiquement les risques Critères classiques de sécurité mais aussi de nouveaux critères Prendre les mesures en conséquence Avantage : travail ré-utilisable (d autres outils similaires vont arriver) Limitations de la présentation Ne pas émettre de recommandation d interdire ou d autoriser tel ou tel produit La démarche n est pas une méthodologie Simplement prendre du recul Proposer une liste (à la Prévert) d angles d étude (ne pas se focaliser sur un aspect)

Eléments à étudier / outil L usage (du logiciel, du service) Les coûts La confiance dans le logiciel (client, serveur) Les spécificités du service La localisation du service La maîtrise et le contrôle de l utilisation du service Les perturbations possibles La confidentialité des données Les responsabilités

L usage Objectif : est-ce un outil utile? Pour une activité professionnelle Quel est l intérêt pour l organisme, l entreprise? Efficacité rentabilité Ex : Messagerie instantanée - blog -> travail collaboratif Lien social Ex : forum de discussion interne Promotion marketing Ex : forum, blog

L usage Dans la tolérance pour usage personnel de l Internet Avec quelles personnes (extérieures)? Quelle proportion du temps? Quels utilisateurs? VIP de l entreprise? ( données sensibles) Uniquement internes L analyse devrait permettre de classer l outil comme : Obligatoire - utile - tolérable - intolérable Eventuellement décider d une étude sur l intérêt de rendre le service officiellement, géré par l équipe informatique

Les coûts Objectif : évaluer tous les coûts Economies réalisées Outil utile gain de productivité Logiciel - service gratuit / au même payant Baisse factures : téléphone (VoIP) Formation : apprentissage à domicile Coûts cachés Temps passé à l utilisation Temps passé à l installation, au suivi (si personnel non informaticien) Ressources consommées (réseau )

La confiance dans le logiciel Objectif : évaluation des risques engendrés par l installation du logiciel sur un poste Bugs (involontaires) ou chevaux de Troie (volontaires) dans les logiciels peuvent créer un point d entrée pour accéder au réseau interne de l entreprise Origine du développement? Société ou entité (logiciel libre) de confiance? Le code source, les protocoles, les algorithmes sont ils publics? Ex : Skype, dernières versions de MSN : code non public Si produit gratuit Quels sont les objectif des créateurs, quelle rentabilité pour eux? Ex : Skype, MSN, gmail Service au départ gratuit (fidélisation) qui devient progressivement payant La publicité finance-elle le service? Objectif non avouable? Points positifs pour la confiance dans le logiciel La disponibilité du code source La description des protocoles et des algorithmes (si possible standards) La clarté des mobiles des concepteurs (commerciaux ou autres)

La localisation du service Objectif : évaluation des risques liés à la confidentialité et l intégrité des données échangées ou stockées Interne : tout est maîtrisé Ex : gestionnaire de listes de diffusion interne Externalisé avec contrat commercial Quelles garanties de confidentialité, d intégrité des données mais aussi quel contrôle d accès et de mise à jour (correctifs sécurité) des serveurs hébergeurs dans le contrat commercial? Ex : Site Web WIKI hébergé Grand public centralisé Dans quel pays? Quelle société? Quelles garanties? Ex : MSN, gmail Grand public décentralisé (infrastructure spontanée) Quels sont les mécanismes? Quels sont les «nœuds principaux»? Quelles données contiennent ils? Ex : skype L analyse devrait permettre d évaluer le risque d espionnage (défense ou industriel), de graduer grossièrement le niveau de confidentialité et d intégrité (affiné dans un paragraphe suivant)

La maîtrise et le contrôle de l utilisation Objectif : évaluer les possibilités de contrôle de l installation des logiciels, de l utilisation du service ainsi que la détection de ces éléments Maîtrise de l installation des logiciels Est-ce l équipe informatique qui installe le produit? (ou les utilisateurs peuvent ils le faire euxmêmes?) Est-ce que la configuration du produit peut être maîtrisée par l équipe informatique? Surveillance Peut-on savoir rapidement sur quels postes est installé le produit? Qui l utilise (en interne mais aussi identité des correspondants)? Quand (traces)? Est-ce que le trafic peut être filtré par les routeurs, gardes-barrière? Les ports utilisés sont ils figés (et connus) / dynamiques? Les flux sont ils détectés par des outils de surveillance réseau? Une application dont on peut détecter, surveiller et tracer l utilisation est une garantie pour pouvoir contrôler son utilisation (l interdire éventuellement) But des nouvelles applications P2P : passer les gardes-barrière et ne pas être détecté

Les perturbations possibles Objectif : prévoir les perturbations qu est susceptible d engendrer l utilisation du logiciel, du service Sur le poste utilisateur : exemples : Le poste peut devenir serveur sans le savoir : stocker des données illégales, servir de point d entrée sur le réseau La configuration du poste peut être modifiée (changement de pilotes ) Certaines applications professionnelles peuvent ne plus fonctionner du tout (manque de ressources) Sur le réseau Exemple : la bande passante utilisée importante perturbation des autres applications Sur l ensemble des équipements Exemple : le logiciel peut perturber les autres postes ou services sur le même réseau local, essayer de se déployer «automatiquement» L analyse devrait permettre de faire des recommandations sur : Architecture : mettre les stations utilisatrices dans un VLAN particulier Postes clients : interdire l utilisation de logiciel sur certains postes (sensibles) Installation de postes dédiés Ex : skype

La confidentialité des données Objectif : étudier les types de données véhiculées, leur besoin de confidentialité, la vulnérabilité du service dans ce sens Quelles sont les informations (au sens large) manipulées? Conversations téléphoniques, courriels, fichiers, annuaires, mots de passe, Sont elles confidentielles? importantes? Où sont elles stockées? Sur un poste externe (hébergement boites aux lettres), annuaire central externe Comment circulent elles dans le réseau? En clair? Suivant quel chemin? Comment est géré le contrôle d accès à ces données? Qui peut y avoir accès? Quelles sont les informations privées divulguées? Organigramme, identités, numéros de téléphone, adresses électroniques, numéros IP, L analyse doit rapidement se conclure par l interdiction ferme de certains services à certains groupes (VIP?), pour certains usages ou types d informations

Les responsabilités Objectif : étudier quelle est la responsabilité juridique de l organisationentreprise Lors de l utilisation «normale» de ce type de service? D une utilisation délictueuse? Tout l arsenal juridique sur l informatique, les informations, les communications, l édition, les œuvres, peut s appliquer selon les outils : lois sur les délits informatiques, la presse, la protection de la vie privée, les droits d auteur, L analyse devrait conduire à Essayer d anticiper les problèmes Informer précisément les utilisateurs : droits, risques, devoirs Modifier la charte informatique?

Que faire? Présentation : pas de réponse sur Quels comportements adopter? Quelles règles fixer? Que faut-il interdire? Quels services faut-il offrir en interne ou sous-traiter? Rappel de l introduction Limitations de la présentation Ne pas émettre de recommandation d interdire ou d autoriser tel ou tel produit Objectif : proposer un début de grille pour répondre aux questions cidessus La réponse est très dépendante de l environnement : suivre la grille avec l exemple skype

Que faire? Néanmoins, recommandations Ne pas faire l autruche Proposer des solutions aux besoins (les anticiper?) Avec les services : informatique, achat, juridique Internes ou externes : un contrat commercial amène toujours plus de garantie que «rien» Maîtriser, ne pas «laisser faire» Attention aux conséquences d un sentiment tel que : chez moi j ai des outils géniaux, au travail je ne peux rien faire informaticiens incompétents, responsables sécurité bornés, Mais ne pas oublier les effets de mode Etudier chaque outil qui se déploie spontanément avec les critères énoncés avant En déduire ce que l entreprise, l organisation doit faire

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back