DCG : UE8 Système d'information de Gestion



Documents pareils
DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Glossaire. Acces Denied

Sécurité des Postes Clients

La sécurité des systèmes d information

Fiche de l'awt La sécurité informatique

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

CHARTE INFORMATIQUE LGL

Les principes de la sécurité

CHARTE WIFI ET INTERNET

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

La sécurité informatique

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Charte informatique du personnel

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Sécurité informatique : règles et pratiques

Présenté par : Mlle A.DIB

Bibliographie. Gestion des risques

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Sécurité des systèmes informatiques Introduction

Feuille de données Outpost Antivirus Pro 2009 Antivirus de haute vitesse qui vous tient à la tête du jeu

Principes de la sécurité informatique

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Malveillances Téléphoniques

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

A. Sécuriser les informations sensibles contre la disparition

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

College Du Chinchon. Torniké Sidamonidzé 3C. M. Brulé

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Sécurité informatique

Progressons vers l internet de demain

Dossier sécurité informatique Lutter contre les virus

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

s é c u r i t é Conférence animée par Christophe Blanchot

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Charte d installation des réseaux sans-fils à l INSA de Lyon

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

SÉCURITE INFORMATIQUE

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

Charte d'utilisation des systèmes informatiques

CONDITIONS PARTICULIERES D'ENREGISTREMENT, DE RENOUVELLEMENT ET DE TRANSFERT DE NOMS DE DOMAINE

Politique d'utilisation Acceptable de PTC relative aux Services Cloud

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

Cette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.

MANUEL UTILISATEUR DU SERVICE ACCÈS NOMADE SOUS MICROSOFT WINDOWS. Accès distant, Réseau Privé Virtuel, WebVPN, Cisco AnyConnect

escan Entreprise Edititon Specialist Computer Distribution

État Réalisé En cours Planifié

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Fiche Technique. Cisco Security Agent

CHARTE D UTILISATION DU SYSTEME DE TRAITEMENT DE L INFORMATION ET DE LA COMMUNICATION DOCUMENT ANNEXE AU REGLEMENT INTERIEUR

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

Politique de sécurité de l information

Projet Sécurité Réseaux

CATALOGUE DE FORMATION INTERNET BUREAUTIQUE INFORMATIQUE..::NET-INOV.COM::..

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

Les menaces sur internet, comment les reconnait-on? Sommaire

Convention type ENTRE :

Concilier mobilité et sécurité pour les postes nomades

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

SECURIDAY 2013 Cyber War

Convention Beobank Online et Beobank Mobile

Conditions Générales d Utilisation

Sécuriser les achats en ligne par Carte d achat

Notions de sécurités en informatique

Les risques HERVE SCHAUER HSC

dans un contexte d infogérance J-François MAHE Gie GIPS

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

INF 1160 Les réseaux d entreprise

HES SO Fribourg. Directives d utilisation. des équipements informatiques

[ Sécurisation des canaux de communication

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Groupe Eyrolles, 2006, ISBN : X

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

1 LE L S S ERV R EURS Si 5

CONDITIONS PARTICULIERES D'HÉBERGEMENT WEB

Les menaces informatiques

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

Symantec MessageLabs Web Security.cloud

Chap. I : Introduction à la sécurité informatique

Transcription:

Table des matières CARTE HEURISTIQUE... 2 LE RISQUE... 3 LES MENACES... 3 Les menaces non intentionnelles...3 Les menaces intentionnelles...4 LES CYBER DÉLINQUANTS... 5 Typologie...5 Motivation...6 L'ANALYSE DES RISQUES... 6 POLITIQUE DE SÉCURITÉ... 6 Conception...6 Réalisation...7 Évaluation et Contrôle...7 Amélioration...7 LES DISPOSITIFS DE PROTECTION... 7 Protection du réseau local...7 La protection du poste de travail...9 Une charte informatique, que tout utilisateur doit signer et approuver avant d'utiliser le poste de travail mis à sa disposition....11 Conduite à tenir en cas d'infection...11 Jacques Chambon 1/11

Carte heuristique Jacques Chambon 2/11

La sécurité des systèmes d information couvre la sécurité informatique (sécurité logique) mais aussi la sécurité physique et organisationnelle du système. Elle doit garantir un niveau convenable de : Confidentialité : l information ne doit être accessible qu aux personnes habilitées à la lire ou à la mettre à jour ; Intégrité : l information doit être exempte d erreurs et de falsification ; Disponibilité : les informations doivent être mises à disposition des utilisateurs en temps voulu. Le Risque Le critère CID permet de mesurer la sensibilité des informations. Le Risque est la probabilité d'échec dans l atteinte d'objectifs. Le Risque informatique est la probabilité d'échec d'un projet informatique. Améliorer la sécurité informatique, c'est gérer les risques liés à l'informatique et à l'information, c'est maximiser les chances de réussite et réduire la probabilité d'échec!!! RISQUE = MENACE * IMPACT * VULNERABILITE Une menace est une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation («norme de sécurité des systèmes d'information ISO 13335-1»). Une menace doit être décrite en citant le bien qui en est la cible, l élément menaçant identifié et l attaque. Une société a mis en place une borne Wifi pour permettre à ses commerciaux itinérants de se connecter au réseau de l'entreprise lors des réunions. La menace peut consister en une intrusion du réseau par des personnes extérieures (élément menaçant) à l'entreprise pour récupérer le fichier client (bien), en utilisant un logiciel facilement disponible sur Internet (attaque) qui permet de cracker les clés de sécurité Wifi Une vulnérabilité est toute faiblesse des ressources informatiques qui peut être exploitée par des menaces, dans le but de les compromettre. De nouvelles vulnérabilités sont découvertes quotidiennement et peuvent concerner toute ressource informatique. Dans l'exemple précédent, la vulnérabilité tient à la nature des clés de protection dont le système de cryptage n'est pas suffisamment robuste. L'impact est l'évaluation des dommages causés par les dégâts d'un événement. La divulgation d'un fichier client peut engendrer des pertes financières, mais aussi une décrédibilisation de l'entreprise dont l'image peut devenir négative. Assurer le risque zéro est trop coûteux. La règle de Pareto s'applique aussi à la gestion des risques : «80% des risques informatiques peuvent être couverts par 20% des investissements nécessaires.» Les menaces La gestion des risques est cruciale pour augmenter la probabilité de réussite. Les menaces non intentionnelles Ce type de menace peut être d'origine humaine ou matérielle Les personnes mal ou peu formées aux outils qu'elles utilisent, la catastrophes naturelles Jacques Chambon 3/11

Menace Définition Mesures préventives Erreur Humaine Tout comportement humain ne respectant pas le bon usage et pouvant conduire de façon involontaire à des préjudices divers. La négligence ou l'incapacité sont à l'origine des erreurs humaines. Sensibiliser le personnel aux risques inhérents aux erreurs humaines. Former le personnel aux logiciels qu'ils utilisent. Mettre en place des procédures et veiller à leur respect. Introduire la double validation là ou c'est nécessaire. Organiser une gestion et un suivi des erreurs. Limiter strictement les accès aux logiciels et données aux personnes qui en ont l'usage. Les pannes matérielles et logicielles Il y a autant de causes de pannes possibles que d'éléments ou de couches constitutives d'un système informatique. Offrir des conditions de fonctionnement optimales à tous les équipements critiques. Créer des redondances Mettre en place et respecter minutieusement les procédures de sauvegarde. Eviter les solutions propriétaires et favoriser les solutions "standard". La perte de données Suppression ou détérioration des données de manière à en rendre l'accès impossible. Les catastrophes naturelles, les pannes techniques ou des actions humaines de destruction sont à l'origine de pertes de données. Les menaces intentionnelles Utiliser des technologies de stockage adaptées. Définir des politiques de sauvegarde adaptées. Limiter les droits des utilisateurs au minimum requis. Définir des périmètres de sécurité pour le matériel informatique Définir des règles de sécurité dans le périmètre de sécurité Gérer de manière pro-active le parc informatique Former les utilisateurs aux différentes applications Les menaces intentionnelles ont toujours une origine humaine. Elles peuvent provenir de l'intérieur ou de l'extérieur de l'organisation. Les codes malicieux Menace Définition Mesures préventives Virus et Vers Cheval de Troie Spyware Un virus est un logiciel qui se propage, en s'attachant à tout type de fichier Un ver est un virus qui dispose d'un "moteur" lui permettant de se propager sans intervention humaine. Un cheval de Troie est un logiciel qui se présente comme un logiciel anodin mais qui a vocation à infecter une machine à l insu des utilisateurs. Il sert à créer et maintenir un accès permanent non autorisé sur une machine. (Backdoor) Les logiciels espions sont de petits programmes informatiques qui se multiplient à l'aide de logiciels diffusés et téléchargeables sur Internet. Utiliser un logiciel anti-virus, Utiliser un pare-feu, Appliquez les mises à jour des applications, Eviter d'ouvrir des courriels, logiciels ou tout autre fichier dont le sujet ou le contenu est inhabituel, voire anormal. Utiliser un anti-spyware, Attaque par courrier électronique Menace Définition Mesures préventives Phishing Pharming L'hameçonnage est une technique de fraude visant à obtenir des informations confidentielles telles que des mots de passe ou des numéros de carte de crédit au moyen de messages ou de sites usurpant l identité d institutions financières ou d entreprises commerciales; Technique de fraude consistant à rediriger le trafic internet d un site internet vers un autre site lui ressemblant, dans le but d obtenir des informations confidentielles telles que des mots de passe ou des numéros de cartes de crédit Attaque de site Web Menace Définition Mesures préventives Defacement Une défiguration (defacement) est une attaque dirigée contre un site Web. C'est une action intentionnelle de destruction, dégradation ou modification de données d'un site Web. Connaissances et suivi de bonnes pratiques et de règles de comportement appropriées. Vérifier que la transaction s'effectue à l'aide d'un protocole sécurisé HTTPS. Utiliser un dispositif d'anti-intrusion. Ces dispositifs contrôlent la non modification du contenu des pages, incluant la page d'accueil, d'un site Web, Appliquez les mises à jour du système d'exploitation et des applications du serveur WEB. Jacques Chambon 4/11

Menaces physiques Menace Définition Mesures préventives Vol physique Un vol peut s'effectuer sur tous les éléments constitutifs du parc informatique. Ces vols peuvent être commis dans les locaux de l'entreprise ou lors du transport du matériel informatique. Mettre en place un contrôle d'accès effectif aux bureaux et aux périmètres de sécurité, Respecter et contrôler les procédures relatives à l'usage, au transport et au stockage des supports informatiques, Utiliser des cadenas pour sécuriser les ordinateurs portables, Chiffrer les données contenues dans un ordinateur portable (vol de données), Utiliser des mots de passe forts (vol de données), Limiter et contrôler l'usage des supports informatiques (vol de données), Marquer tous les équipements (effet dissuasif). Liste des menaces EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité). EBIOS est une méthode publiée par la Direction Centrale de la Sécurité des Systèmes d'information (DCSSI) en France. 1. INCENDIE, 2. DÉGÂTS DES EAUX, 3. POLLUTION, 4. ACCIDENTS MAJEURS, 5. PHÉNOMÈNE CLIMATIQUE, 6. PHÉNOMÈNE SISMIQUE, 7. PHÉNOMÈNE VOLCANIQUE, 8. PHÉNOMÈNE MÉTÉOROLOGIQUE, 9. CRUE, 10. DÉFAILLANCE DE LA CLIMATISATION, 11. PERTE D'ALIMENTATION ÉNERGÉTIQUE, 12. PERTE DES MOYENS DE TÉLÉCOMMUNICATIONS, 13. RAYONNEMENTS ÉLECTROMAGNÉTIQUES, 14. RAYONNEMENTS THERMIQUES, 15. IMPULSIONS ÉLECTROMAGNÉTIQUES (IEM), 16. INTERCEPTION DE SIGNAUX PARASITES COMPROMETTANTS, 17. ESPIONNAGE À DISTANCE, 18. ÉCOUTE PASSIVE, 19. VOL DE SUPPORTS OU DE DOCUMENTS, 20. VOL DE MATÉRIELS, 21. DIVULGATION INTERNE, 22. DIVULGATION EXTERNE, 23. PANNE MATÉRIELLE, 24. DYSFONCTIONNEMENT MATÉRIEL, 25. SATURATION DU MATÉRIEL, 26. DYSFONCTIONNEMENT LOGICIEL, 27. DESTRUCTION DE MATÉRIELS, 28. ATTEINTE À LA MAINTENABILITÉ DU SYSTÈME D'INFORMATION, 29. INFORMATIONS SANS GARANTIE DE L'ORIGINE, 30. PIÉGEAGE DU MATÉRIEL, 31. UTILISATION ILLICITE DES MATÉRIELS, 32. ALTÉRATION DU LOGICIEL, 33. PIÉGEAGE DU LOGICIEL, 34. COPIE FRAUDULEUSE DE LOGICIELS, 35. UTILISATION DE LOGICIELS CONTREFAITS OU COPIÉS, 36. ALTÉRATION DES DONNÉES, 37. ERREUR DE SAISIE, 38. ERREUR D'UTILISATION, 39. ABUS DE DROIT, 40. USURPATION DE DROIT, 41. RENIEMENT D'ACTIONS, 42. FRAUDE, 43. ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL. Les cyber délinquants Typologie Les cyber-délinquants sont des personnes qui attaquent illégalement un site informatique déterminé, ou qui commettent un délit à l aide d un outil informatique. On les nomme vulgairement «Pirates» 0*Les hackers ou «chapeaux blancs» se contentent d enfreindre la sécurité des systèmes pour en souligner les failles. Ils sont hautement qualifiés et compétents. 1*Les crackers ou «chapeaux noirs», pénètrent les systèmes informatiques avec l intention de nuire. Jacques Chambon 5/11

2*Les scripts-kiddies forment le bas-de-gamme du piratage informatique. Ils lancent leurs attaques de manière totalement aléatoire en utilisant des logiciels «prêt à l emploi», ne maîtrisant ni leur fonctionnement, ni les conséquences de l action illégale entreprise. 3*Les employés Connaissant les procédures de l'entreprise, ils sont les mieux placés pour en utiliser les failles. 1*les pirates sociaux Ils utilisent la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc.afin de contourner les dispositifs de sécurité. La technique associée prend le nom d'«ingénierie sociale» (en anglais «social engineering»). Motivation Les motivations des cyber délinquants peuvent être classées de la façon suivante : Motivation Stratégique Terroriste Cupidité Ludique Vengeance Objectif Déstabiliser les systèmes concernant les secrets de Défense et la Sûreté de l Etat. S'approprier une partie du patrimoine national (scientifique, technique, industriel, économique ou diplomatique) Destruction physique de systèmes, désinformation Obtenir un gain financier, matériel ou de tout autre ordre. Pénétrer des systèmes d'information pour obtenir une certaine reconnaissance. Répondre à une frustration telle que licenciement, brimades, conflits, etc... L'analyse des risques Evaluer les ressources critiques de l'organisation. On définit les ressources critiques comme les éléments essentiels à l organisation, sans lesquels la valeur de l organisation serait moindre, voire inexistante. En voici quelques exemples : les informations, les ressources matérielles (équipements divers, machines, etc.) et logicielles, le personnel (ressource la plus importante et la plus critique), l image de marque. Déterminer et Classer les menaces qui pèsent sur les ressources. On définit la probabilité qu'une menace apparaisse et quel serait son impact sur l'organisation Politique de Sécurité A partir de l'analyse des risques, il faut définir le niveau d'exigence acceptable pour l'entreprise. Pour réduire les risques, on agit sur les vulnérabilités, ou on essaie de réduire l impact qu aurait l exploitation d une de ces vulnérabilités par une menace. Pour réduire l impact il faut mettre en place des mesures préventives et les coordonner dans le cadre d'une politique de sécurité. Conception Politique de sécurité Etape de démarrage qui consiste à : s'assurer que le périmètre et le contexte du futur système sont correctement définis. identifier, évaluer les risques et développer un plan permettant de les gérer. rédiger un manuel de sécurité désigner une personne chargée de définir la politique de sécurité Jacques Chambon 6/11

Réalisation L étape de réalisation consiste principalement à appliquer les politiques définies dans le manuel de sécurité en : implantant les mesures techniques préventives en sensibilisant Direction et Employés Évaluation et Contrôle Les systèmes d évaluation doivent avoir été décrits dans le manuel de sécurité. L objectif consiste à s assurer que les procédures mises en place fonctionnent comme prévu. Ces évaluations peuvent être de plusieurs types : vérifications régulières faites dans le cadre des activités quotidiennes ; contrôles automatiques réalisés avec des outils logiciels permettant de créer des rapports ; comparaison avec les autres organisations ; réalisation d audits formels planifiés (risk assessment) ; révision par la direction. Si les évaluations et les contrôles révèlent que certaines procédures sont inadéquates, il faut entreprendre des actions correctives. Amélioration Les actions qui auront été décidées à l étape précédente devront être mises en œuvre soit : au niveau du système de sécurité proprement dit, comme par exemple en nommant un(nouveau) responsable pour tout ou partie du système; au niveau des procédures opérationnelles qui en auront été déduites, comme par exemple par la mise en œuvre d une procédure de sauvegarde de données différentes (et évidemment plus adaptée); au niveau des outils, comme par exemple par l achat d un outil anti-virus. Les dispositifs de protection Protection du réseau local Pour isoler un réseau local de l'extérieur il faut mettre en oeuvre un garde Barrière qui conjugue la combinaison de 2 applications logicielles, un serveur mandataire(proxy) d'une part et un pare-feu (firewall) d'autre part. Serveur mandataire Un serveur mandataire est une application qui sert d'intermédiaire entre un client et un serveur. Le client envoie sa requête au mandataire, qui la réémet en direction du serveur concerné. De même, la réponse du serveur est reçue par le mandataire qui la retransmet au client. Un proxy peut être configuré pour filtrer les requêtes. Un serveur mandataire assure les fonctions suivantes : Mémoriser les dernières pages consultées sur le Net ; Garder une trace des requêtes ; Analyser le contenu des documents pour détecter d'éventuels virus ; Restreindre les accès de l'intérieur (du LAN vers Internet) : autoriser ou interdire l'accès à certains services d'internet pour certains utilisateurs. Interdire l'accès à certains sites Web selon certains critères (adresse IP, mots clès...) Interdire à tous les employés de consulter les sites contenant le mot clé «sexe». Système Pare-feu ou Firewall Un pare feu est un équipement conçu pour empêcher des individus extérieurs d accéder au Réseau Local. Un système pare-feu fait office de point d entrée sur un site, évalue les demandes de connexion à mesure qu il les reçoit. Il traite seulement celles qui proviennent de machines autorisées et supprime les requêtes en provenance des autres. Jacques Chambon 7/11

La majorité des système pare-feu procèdent par filtrage de l adresse de source. Autoriser les ordinateurs extérieurs (quelle que soit leur adresse IP) à accéder au serveur Web de la zone démilitarisée. Autoriser les ordinateurs du réseau local à accéder aux serveurs web extérieurs Autoriser les ordinateurs du réseau local à accéder aux services de messagerie électroniques Interdire tous les autres services d'internet. DMZ - Zone démilitarisée La «zone démilitarisée» (DMZ) est un réseau intermédiaire tampon dans laquelle peuvent être installés les ordinateurs et applications devant pouvoir être accessibles à partir d'internet (les serveurs de services FTP et de pages WWW, par exemple). Cette technique permet de différencier les données confidentielles et sensibles, présentes sur le réseau local, des données «publiques» de l'entreprise. Réseau Privé Virtuel (RPV) Le Réseau Privé Virtuel (en anglais on parle de Virtual Private Network (VPN) est une solution technique qui assure l'authentification et la confidentialité des données échangées entre sites distants utilisant internet comme moyen de transmission. Dans le schéma suivant l'entreprise A possède un établissement distant avec lequel elle communique en utilisant Internet. Un commercial itinérant est doté d'un ordinateur portable et via Internet doit pouvoir accéder à la base de données du siège social. Cette entreprise A veut échanger des données (devis, factures...) avec une entreprise partenaire (entreprise B). Jacques Chambon 8/11

Comme les données circulant sur Internet sont transmises en clair, les administrateurs réseau de l'entreprise A, vont paramétrer la fonction VPN sur les systèmes d'exploitation des serveurs et des postes de travail concernés. Si les postes sont utilisés par les salariés de l'entreprise A, on parlera d'intranet. Une coopération technique sera nécessaire pour paramétrer le VPN entre l'entreprise A et l'entreprise B. Cette liaison sécurisée (chiffrement des données transmises sur le réseau) sera désigné sous le terme d'extranet. Lorsqu'on établit une liaison sécurisée entre 2 machines distances en passant par Internet, on parle de tunnel VPN. La protection du poste de travail Contrôle d'accès L'authentification demeure indispensable pour effectuer un contrôle d'accès fiable portant sur l'identité des usagers des services. Le mécanisme le plus couramment employé consiste à associer un mot de passe à l'identifiant d'une personne. Qualités d'un mot de passe 1. longueur comprise entre 6 et 8 caractères ; 2. mot n'appartenant pas à un dictionnaire ; 3. mélange de chiffres, de lettres (minuscules et majuscules)et de caractères spéciaux «gilles» est un mauvais mot de passe. «G1i*l;e!» est un mot de passe sécuritaire Un mot de passe doit être changé fréquemment Pour vérifier l'identité de l'utilisateur, on aura de plus en plus recours à la biométrie ( empreinte digitale, reconnaissance du visage, reconnaissance de l'iris, ADN) Anti-Virus Un logiciel antivirus fonctionne selon 2 modes : le mode statique : l'antivirus n'est actif que lorsque l'utilisateur le déclenche. Le mode dynamique : l'antivirus est «résident» et surveille en permanence l'activité du système d'exploitation, du réseau et de l'utilisateur. Quel que soit son mode de fonctionnement, l'antivirus peut utiliser deux techniques : Jacques Chambon 9/11

Recherche de signatures : un virus est caractérisé par une suite de bits (signature) consignés dans des bases de données. Avantage : très efficace sur des virus connus ; Inconvénient : nécessite une mise à jour très fréquente de la base des signatures Analyse heuristique : consiste à étudier des règles, des stratégies en vue d'étudier le comportement d'un programme. Avantage : peut détecter des virus encore inconnus Inconvénient : génère de nombreuses fausses alertes. EXERCICE 09.01 Une entreprise a installé sur chaque poste de travail une connexion internet. L'usage a révélé deux types d'abus de la part des salariés : 1. accès à des sites dont le contenu n'avait aucun lien avec leur activité professionnelle et que la morale réprouve. 2. Usage de protocoles de discussion en direct (chat) et de protocoles de streaming permettant de visualiser des films. Travail à faire Quels dispositifs techniques, l'administrateur réseau doit-il déployer pour contraindre les salariés à n'utiliser que les services internet utiles à la profession de chacun. CORRIGE Pour interdire l'utilisation des protocoles de discussion en direct et de streaming, l'administrateur réseau interviendra au niveau du Pare-feu (Firewall). Par contre il ne pourra interdire l'intégralité du protocole http (consultation de site web) dont les salariés ont besoin pour accéder à certains sites professionnels. Il faudra qu'il fasse la liste des sites utiles par salarié et la reporte dans le serveur mandataire. EXERCICE 09.02 Parmi les deux expressions suivantes, quelle est la plus sécuritaire? 1. Tout ce qui n'est pas autorisé est interdit. 2. Tout ce qui n'est pas interdit est autorisé. CORRIGE La première est beaucoup sécuritaire. Son application dans le cadre d'un serveur mandataire consiste à donner, pour chaque salarié, la liste des sites auxquels ils peuvent accéder et à interdire tous les autres. La règle n 2 n'est pas applicable. De nouveaux sites apparaissent chaque jour et l'administrateur ne peut tous les connaître. Alors qu'il est facile de réaliser une liste des sites autorisés, il est impossible de faire une liste des sites interdits. EXERCICE 09.03 Un cabinet d'expertise comptable autorise ses collaborateurs à travailler à distance (en clientèle et à domicile) via un intranet. Quel système doit-il mettre en place pour assurer la confidentialité des données échangées? CORRIGE Un RPV doit être mis en place entre les serveurs du cabinet et le poste de travail des collaborateurs : les données échangées entre les deux types de machine seront cryptées. Jacques Chambon 10/11

Les règles d'hygiène informatique Le grand jeu des programmeurs de virus est de répandre des virus capables de contourner les protections logicielles mise en place par les systèmes de sécurité existants. Fonder la lutte antivirale sur l'utilisation d'un ou de plusieurs antivirus est illusoire. Il faut mettre en place en amont de ces logiciels des règles de bonne conduite : une politique de veille technologique, consistant à consulter les sites des éditeurs de logiciels pour connaître les alertes et appliquer les parades immédiates. La formation et la sensibilisation permanente des utilisateurs, pour éviter des comportements inconséquents. Le contrôle des contenus. L'utilisateur ne doit pas pouvoir installer tout et n'importe quoi sur sa machine, notamment des logiciels piratés qui sont source de virus. Le choix des logiciels. De nombreux logiciels commerciaux présentent des failles de sécurité utilisées par les concepteurs de virus. Il est donc légitime d'évaluer avec attention les logiciels libres. Le format des documents générés par les logiciels conditionne la présence potentielle de virus. Il est donc souhaitable d'utiliser les extensions rtf plutôt que doc pour les documents issus des traitements de texte. Vous trouverez ci dessous un tableau donnant une évaluation des risques de virus associés à un type de fichier. Une charte informatique, que tout utilisateur doit signer et approuver avant d'utiliser le poste de travail mis à sa disposition. Conduite à tenir en cas d'infection Jacques Chambon 11/11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back