Le but de cette fiche est de familiariser les lecteurs avec les notions de base de la sécurité informatique, telles que définies dans la norme ISO 7498-2 par exemple et de vous expliquer les requis pour la gestion des changements en cette matière.
Introduction à la sécurité informatique
Lors de la mise en place de nouveaux équipements ou de nouvelles applications, avouons le, c’est souvent l’aspect technique, les performances, l’intégration, la nouveauté, la facilité d’utilisation qui l’emporte sur la sécurité. L’aspect sécurité n’est pris en compte que dans une deuxième phase, au moment de l’exploitation. C’est bien tard ! De correctifs en bricolages, il ne nous reste plus qu’à pallier les insuffisances… qui sont souvent d’ordre intrinsèque. Comment faire entrer la sécurité dans notre planification? Cette question n’est même pas posée quand il s’agit d’installer un matériel ou un logiciel « dédié à la sécurité », comme des équipements d’extrémité de réseaux ou des pare-feux.
Aussi faut-il ce poser des questions quand on passe à des changements dans l’infrastructure et qu’on y installe une nouveauté:
- Les fonctionnalités prétendues du produit sont-elles effectivement implémentées et efficaces ?
- Le produit comporte-t-il des fonctionnalités cachées ?
- Le schéma de développement du produit ou du changement est-il compatible avec le niveau de sécurité recherché ?
- Le produit est-il apte à contrer une attaque menée par un néophyte, un bon pratiquant ou un expert ?
- Quel doit être l’environnement d’exploitation d’un produit pour atteindre un certain niveau de sécurité ?
Contrairement aux croyances les plus répandues, ces questions se posent autant pour les «Freeware » que pour les logiciels propriétaires. En effet, les évaluations ont pour objectif premier de détecter des vulnérabilités, des fautes d’implémentation ou des défauts de documentation ou de conception, plutôt que de faire une recherche exclusive des éventuelles « portes dérobées » installées sournoisement dans les produits.
Pour répondre à ces interrogations, il faut ce donner la peine d’évaluer le produit ainsi que les changements sous l’aspect de la sécurité. Toutefois le niveau d’assurance que cela donne n’est pas suffisant : il faut aussi étudier, vérifier, faire des tests et en faire un rapport pour savoir exactement sur quoi porte l’assurance de sécurité, et vérifier qu’il est bien en adéquation avec les objectifs de sécurité qu’on s’est défini.
Un audit doit donc être réalisé dans l’objectif primordial de tester le niveau de sécurité de chaque changement ou nouveauté dans l’infrastructure. Identifier ses failles permet de contrer les attaques. Les différents tests réalisés indiquent les mesures correctives primordiales à appliquer.
Enjeux de la sécurité informatique
Pour maintenir son avantage compétitif de manière durable, l’entreprise doit assurer la disponibilité constante de tous ses outils, et particulièrement de son outil informatique dont elle est de plus en plus dépendante. L’entreprise doit aussi assurer l’intégrité de l’information qu’elle a stockée dans son système informatique. Enfin, elle doit préserver la confidentialité de cette information. Tel est l’enjeu, qui a pris une importance croissante depuis qu’une majorité d’opérations manuelles ont disparu et ont été informatisées, depuis que les réseaux d’entreprise ont permis de distribuer l’informatique dans toute l’organisation et depuis que ce réseau est ouvert sur l’extérieur.
Les objectifs de la sécurité informatique
Pour atteindre le niveau de sûreté requis, la sécurité informatique se fixe l’objectif suivant:
| Protéger les actifs informatiques de l’entreprise contre les risques et ce, d’une manière qui est adapté à l’entreprise, à son environnement et l’état de ses outils informatiques. | |
| Empêcher la divulgation non-autorisée de données. | |
| Empêcher la modification non-autorisée de données. | |
| Empêcher l’utilisation non-autorisée de ressources réseau ou informatiques de façon générale. |
Les champs d’application de la sécurité informatique
Ils appliquent dans différents domaines ou champs d’applications, chacun faisant appel à des techniques différentes pour atteindre le ou les mêmes objectifs; ces champs sont:
| La sécurité procédurale (audits de sécurité, procédures informatiques…). | |
| La sécurité des systèmes d’exploitation et des applications. | |
| La sécurité des communications. |
Services principaux de la sécurité informatique
Pour remédier aux failles et pour contrer les attaques, la sécurité informatique se base sur un certain nombre de points qui permettent de mettre en place une réponse appropriée à chaque menace.
Voici quelques éléments à couvrir en matière de sécurité :
| confidentialité | |
| authentification (entité, origine des données) | |
| intégrité |
| machines | |
| réseaux | |
| données (avec possibilité de récupération) | |
| applications |
contrôle d’accès (= autorisation, à différentier de l’authentification) non-répudiation (avec preuve d’émission ou avec preuve de réception)
Savoir reconnaître ses limites
Les moyens techniques nécessaires à la réalisation d’un projet de validation et de mise en place de sécurité réclament une compétence toute particulière.
Malgré leur polyvalence, la majeure partie des intervenants en TI ne sont pas formées et forgées à cette activité de sécurité. C’est pourquoi il est essentiel d’avoir recours à un regard de spécialiste. Demander l’appui de personnes compétentes s’affirme comme le gage d’une sécurité renforcée. Reconnaître humblement son manque d’aptitude demeure le premier pas vers la recherche d’une sécurité sans faille. Souvent un tel travail ne peut être effectué sans l’apport de l’aide de professionnels.