Sécurité informatique
| Image manquante Symbole-ordinateur.png | Cet article est une ébauche concernant l'informatique, vous pouvez partager vos connaissances en le modifiant. |
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources du système d'information (matérielles ou logicielles) d'une organisation sont uniquement utilisées dans le cadre où il est prévu qu'elles le soient.
| Sommaire |
|
|
Enjeux, risques et objectifs de la sécurité informatique
Enjeux
Classification des risques
La sécurité informatique vise à se protéger contre les risques liés à l'informatique. Les risques sont fonction de plusieurs éléments :
- les menaces qui pèsent sur les actifs à protéger;
- les vulnérabilités de ces actifs;
- la sensibilité de ceux-ci.
La sensibilité est la conjonction de différents facteurs :
- la confidentialité
- l'intégrité
- la disponibilité
Ainsi, si l'un des éléments est nul, le risque n'existe pas. C'est pourquoi, l'équation est généralement représentée par : Risque = Menaces * Vulnérabilités * Sensibilité
Les principales menaces effectives auxquels on peut être confronté sont :
- l'utilisateur : l'enorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur (par insouciance ou malveillance)
- les programmes malveillants : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données
- l'intrusion : une personne parvient à accéder à des données ou à des programmes auquels elle n'est pas censée avoir accès
- un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.
Liste des risques
Voir l'article : Risques en sécurité informatique
Objectifs
Expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement opérationnel.
Activités liées
Moyens mis en œuvre en sécurité informatique
Moyens théoriques
Méthodes de sécurité informatique
Outils méthodologiques pour la sécurité des systèmes d'information :
- EBIOS, PSSI, TDBSSI, PC², DSIS
Autres outils méthodologiques :
- Mehari, Marion, Melisa, INCAS, CRAMM, BS7799, ISO17799, FEROS
Critères et méthodologies d'évaluation :
- Critères ITSEC :
- ITSEC : Critères d'évaluation de la sécurité des systèmes informatiques
- ITSEM : Manuel d'évaluation de la sécurité des technologies de l'information
- JIL : ITSEC Joint Interpretation Library
- Critères communs :
- CC : Common Criteria for Information Technology Security Evaluation
- CEM : Common Methodology for Information Technology Security Evaluation
- Norme internationale ISO/IEC 15408 :
- ISO/IEC 15408-1:1999(E) : Part 1 : Introduction and general model
- ISO/IEC 15408-2:1999(E) : Part 2 : Security functional requirements
- ISO/IEC 15408-2:1999(E) : Part 3 : Security assurance requirements
Certifications de sécurité
- CISA, CISSP, GIAC
Moyens pratiques
Mise en place d'une politique de sécurité
La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs desdites ressources possèdent uniquement les droits qui leurs ont été octroyés.
La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :
- élaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation ;
- définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
- sensibiliser les utilisateurs aux problèmes liées à la sécurité des systèmes d'informations.
La politique de sécurité est donc l'ensemble des orientations suivies par une entité en terme de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.
Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en œuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de sécurité.
La sécurité par la conception globale
La sécurité d'un système informatique régulièrement comparée à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible.
Cela signifie que la sécurité du système d'information doit être abordée dans un contexte global :
- la sensibilisation des utilisateurs aux problèmes de sécurité
- la sécurité logique, c'est-à-dire la sécurité au niveau des données
- la sécurité des réseaux
- la sécurité des systèmes
- la sécurité des télécommunications
- la sécurité des applications (débordement de tampon), cela passe par exemple par la programmation sécurisée
- la sécurité physique, soit la sécurité au niveau des infrastructures matérielles
La préservation des données passe par des copies de sauvegarde régulières. Il est important de ne pas stocker ces copies de sauvegarde à coté du matériel informatique; voire dans la même pièce car en cas d'incendie, de dégat des eaux, de vol... il est fort probable que les sauvegardes disparaissent avec le matériel : le stockage des copies de sauvegarde est hautement à préférer dans un autre lieu différent et distant.
Techniques de sécurisation d'un système
- Cryptographie, authentification forte, liste de controle d'accès, stéganographie, infrastructure à clé publique…
- Surveillance du réseau : supervision, sniffer, IDS
- Technologies ad-hoc: pare-feu, anti-virus, anti-spams, anti-spyware
- Sécurité applicative : séparation des privilèges, audit de code, reverse engineering
Plan de continuité
Plus aucune entreprise ne peut se passer de l’outil informatique, d’où la nécessité absolue d’un plan de continuité de l’informatique. Ce plan a pour but la reprise des activités après une catastrophe et ce, de la manière la plus efficace possible tout en garantissant la survie de l’entreprise.
Analyse de risque et d’impact
Pour qu’un plan de continuité soit réellement adapté aux exigences de l’entreprise, il doit reposer sur une analyse de risque et une analyse d’impact:
- L’analyse de risque débute par une identification des menaces sur l’informatique. Les menaces peuvent être d’origine humaine (attaque délibérée ou maladresse) ou d’origine «naturelle»; elles peuvent être internes à l’entreprise ou externes. On déduit ensuite le risque qui découle des menaces identifiées; on mesure l’impact possible de ces risques. Enfin, on décide de mettre en œuvre des mesures d’atténuation des risques en se concentrant sur ceux qui ont un impact significatif. Par exemple, si le risque de panne d’un équipement risque de tout paralyser, on installe un équipement redondant. Les mesures d’atténuation de risque qui sont mises en œuvre diminuent le niveau de risque, mais elles ne n’annulent pas: il subsiste toujours un risque résiduel, qui sera couvert soit par le plan de continuité, soit par d’autres moyens (assurance, voire acceptation du risque)
- L’analyse d’impact consiste à évaluer quel est l’impact d’un risque qui se matérialise et à déterminer à partir de quand cet impact est intolérable, généralement parce qu’il met en danger les processus essentiels (donc, la survie) de l’entreprise. L’analyse d’impact se fait sur base de désastres: on considère des désastres extrêmes, voire improbables (par exemple, la destruction totale du bâtiment) et on détermine les impacts financiers, humains, légaux, etc., pour des durées d’interruption de plus en plus longues jusqu’à ce qu’on atteigne l’impact maximal tolérable. Le résultat principal de l’analyse d’impact est donc une donnée temporelle: c’est la durée maximale admissible d’une interruption de chaque processus de l’entreprise. En tenant compte des ressources informatiques (réseaux, serveurs, PCs…) dont chaque processus dépend, on peut en déduire le temps maximal d’indisponibilité de chacune de ces ressources, en d’autres termes, le temps maximal après lequel une ressource informatique doit avoir été remise en fonction
Pour qu'une analyse de risque soit une réussite, elle doit être le résultat d'une action collective avec une implication de tous les acteurs. Une discussion ouverte devrait être menée et non un cours magistral. Sans implication des acteurs, l'analyse de risque est vouée à l'échec
Stratégie de reprise
L’étape suivante détermine la stratégie de reprise. L’analyse d’impact a fourni des exigences exprimées en temps maximal de rétablissement des ressources après un désastre. La stratégie doit garantir que ces exigences seront observées. Parmi les stratégies qui utilisent des sites de remplacement, on peut citer:
- Pour des temps de rétablissement qui se comptent en jours, on utilisera une salle blanche
- Pour des temps de rétablissement en heures, on utilisera un site «chaud»
- Pour des temps de rétablissement en secondes, on utilisera un site totalement redondant
Plus les temps de rétablissement garantis sont courts, plus la stratégie est coûteuse. Il faut donc choisir la stratégie qui offre le meilleur équilibre entre le coût et la rapidité de reprise.
Développement du plan
Le plan de reprise contient les éléments suivants:
- La composition et le rôle des équipes de pilotage du plan de reprise. Ces équipes se situent au niveau stratégique (les dirigeants qui ont autorité pour engager des dépenses, le porte-parole en charge des contacts avec la presse, les clients et les fournisseurs, etc.), au niveau tactique (les responsables qui coordonnent les actions) et au niveau opérationnel (les hommes de terrain qui travaillent sur le site sinistré et sur le site de remplacement). La composition de ces équipes doit être connue, ainsi que les personnes de remplacement et les moyens de les prévenir. Les membres des équipes doivent recevoir une formation
- Les procédures qui mettent la stratégie en œuvre. Ceci inclut les procédures d’intervention immédiate (qui prévenir, qui peut démarrer le plan et sur quels critères, où les équipes doivent-elles se réunir…), ainsi que les procédures pour rétablir les services essentiels (avec, comme pré-requis, la négociation de contrats avec des fournisseurs de services de reprise tels que les exploitants de sites de secours). Les procédures doivent être accessibles aux membres des équipes de pilotage, même en cas d’indisponibilité des bâtiments
Exercices et maintenance
Le plan doit être régulièrement essayé au cours d’exercices. Un exercice peut être une simple revue des procédures, éventuellement un jeu de rôles entre les équipes de pilotage. Un exercice peut aussi être mené en grandeur réelle, mais peut se limiter à la reprise d’une ressource (par exemple, le serveur principal), ou à une seule fonction du plan (par exemple, la procédure d’intervention immédiate). Le but de l’exercice est multiple :
- Vérifier que le plan est complet et réalisable
- Maintenir un niveau de compétence suffisant parmi les équipes de pilotage
- Évaluer la résistance au stress des équipes de pilotage
Un plan doit aussi être revu et mis à jour régulièrement (au moins une fois par an) pour tenir compte de l’évolution de la technologie et des objectifs de l’entreprise.
Acteurs de la sécurité informatique
Organismes officiels
En sécurité informatique, il existe des organismes officiels chargés d'assurer des services de prévention des risques et d'assistance aux traitements d'incidents. Ces CERT (Computer Emergency Response Team) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises et/ou aux administrations, mais dont les informations sont généralement accessibles à tous.
Les tâches prioritaires d'un CERT sont les suivantes :
- centralisation des demandes d'assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
- traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERTs, contribution à des études techniques spécifiques ;
- établissement et maintenance d'une base de donnée des vulnérabilités ;
- prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences ;
- coordination éventuelle avec les autres entités (hors du domaine d'action) : centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet CERTs nationaux et internationaux.
Il existe plusieurs CERTs en France. Voici la liste des équipe membres du FIRST ou de la TF-CSIRT :
- le CERTA (appartenant à la DCSSI/SGDN) est le CERT dédié au secteur de l'administration française ;
- le Cert-IST est le CERT dédié au secteur de l'Industrie, des Services et du Tertiaire (IST). Il a été créé à la fin de l'année 1998 par quatre partenaires : Alcatel, le CNES, ELF et France Télécom ;
- Le CERT-LEXSI est l'équipe CSIRT de la société LEXSI (Laboratoire d'EXpertise en Sécurité Informatique) dédié aux abonnés de la veille technologique CSI mais également à l'ensemble des entreprises et des institutions ;
- le CERT-RENATER est le CERT dédié à la communauté des membres du GIP RENATER (Réseau National de télécommunications pour la Technologie, l'Enseignement et la Recherche) ;
- le FrSIRT est le dernier Cert créé en France (en 2005), dédié aux entreprises, collectivités, administrations, associations, utilisateurs …
Sociétés à but lucratif
- Éditeurs d'anti-virus
- Éditeurs de pare-feux
- Éditeurs de systèmes d'exploitation basés sur la sécurité : OpenBSD, SELinux
- SSII : Sociétés de Services en Ingénierie Informatique, spécialisées en sécurité
- MSSP : Managed Security Services Provider
Associations
- CLUSIF
- OSSIR
- llo
Groupes de hackers
Il est à noter que les hackers ne sont pas des pirates, comme certains se plaisent à le dire. Les lamers, script kiddies, defaceurs, et Curious Joe, ne sont pas des hackers, mais simplement des personnes qui prétendent l'être. Les hackers sont des passionnés d'informatique, experts des systèmes et des réseaux, capables de développer leurs propres outils, et leur motivation n'est pas forcement délictueuse.
Il existe toutefois différentes catégories de hackers :
- Les chapeaux blancs : consultants en sécurité, adminitrateurs réseaux ou cyber-policiers, prétendent avoir un sens de l'éthique et de la déontologie.
- Les chapeaux noirs : créateurs de virus, cyber espions, cyber-terroristes et cyber-escrocs, qui, eux, sont parfois nuisibles et n'ont pas le même sens de l'éthique que les White hats. Leur sens de l'éthique existe pourtant et est probablement plus profond et sincère que celui des Whitehats, mais cela prête à discussion. Un vrai blackhat ne vous causera en général des soucis que si vous les avez cherchés ...
- Les chapeaux gris, qui se situent entre les deux autres catégories, n'hésitant pas à pénétrer des systèmes, mais sans avoir un but premier de nuire. Parfois, on mélange simplement la catégorie Grey hat avec Black hat (beaucoup de hackers se considèrent Black Hat sans pour autant être nuisibles).
Les principaux groupes de hackers sont :
- Chaos Computer Club (groupe allemand, le plus grand groupe de hackers européen, créé en 1981)
- The Cult of the Dead Cow (créateur de Back Orifice 2000, un logiciel de prise de controle à distance)
- 2600 (groupe hacker new-yorkais)
Depuis la fin des années 80, certains groupes organisent des manifestations, comme :
- Defcon : de nombreuses defcons ont été organisés depuis 1983
- Hackers At Large (qui a rassemblé en 2001 au Pays-Bas plus de 3000 personnes)
- Chaos Communication Congress (organisé par le Chaos Computer Club, tous les ans en Noel et le jour de l'An)
- Chaos Communication Camp (organisé par le Chaos Computer Club, tous les quatre ans, en 1999 et 2003)
Personnalités
- Alan Mathison Turing, mathématicien britannique ayant déchiffré le code secret de la machine Enigma, utilisée par les Nazis
- Kevin Mitnick, hacker (spécialiste en spoofing et en ingéniérie sociale), aujourd'hui consultant en sécurité informatique
- Tsutomu Shimomura, expert en sécurité informatique, ayant collaboré avec le FBI pour identifier Kevin Mitnick
- Dan Geer, consultant en sécurité informatique
- Bruce Schneier, expert en sécurité informatique, cryptographe, et écrivain
- Edward Felten, professeur et chercheur en sécurité informatique
- Ronald Rivest, Adi Shamir et Len Adleman, créateurs de RSA, un protocole de chiffrement à clé publique
- Andy Mueller-Maguhn, un hacker allemand, porte-parole du Chaos Computer Club, ancien membre élu de l'ICANN
- Serdar Argic, pseudonyme de l'auteur d'un des plus grands incidents de pourriel sur Usenet
- Phil Zimmerman, créateur du Pretty Good Privacy, logiciel de communication électronique sécurisée utilisant le chiffrement asymétrique
- Hervé Schauer, un des pionniers de la sécurité informatique en France (1987), fondateur de HSC (Hervé Schauer Consultants)
Controverses autour de la sécurité informatique
- Les « pirates informatiques »
- Confusion entre différents termes et activités
- Acteurs de la sécurité informatique considérés comme des criminels
- Chercheurs en sécurité informatique pourchassés et condamnés (Guillermito/Viguard)
- Systèmes de protection
- Système TCPA Palladium
- Pseudo « standards » et systèmes de liste noire anti-spams (Sender-Id)
- Lobbying de certaines sociétés à but lucratif (éditeurs de logiciel)
- Loi pour « la confiance dans l'économie numérique » (LEN) : Libertés sur Internet
- Les « brevets logiciels »
Annexes
Liens internes
Publications
Livres
- Ross J. Anderson : Security Engineering: A Guide to Building Dependable Distributed Systems, ISBN 0471389226
- Bruce Schneier : Secrets & Lies: Digital Security in a Networked World, ISBN 0471253111
- Paul A. Karger, Roger R. Schell : Thirty Years Later: Lessons from the Multics Security Evaluation, IBM white paper.
- Clifford Stoll : Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage, Pocket Books, ISBN 0743411463
- Hacking Intern, Data Becker
- Markus Schumacher : Hacker Contest, Xpert.press
- Brian Hatch, James Lee, George Kurtz : Halte aux Hackers Linux, Eyrolles, ISBN 2746402874
Principaux magazines
Liens externes
Sites officiels et CERT
- Service du premier ministre français : Serveur thématique sur la sécurité des systèmes d'information
- CERTA : Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques
- CERT IST : Cert dédié à la communauté Industrie, Services et Tertiaire française
- CERT-LEXSI : Cert dédié aux abonnés de la veille technologique de la société LEXSI mais également à l'ensemble des entreprises et des institutions
- Cert Renater : Cert dédié au réseau Renater
- FrSIRT : (anciennement « K-OTik Security ») Cert dédié aux entreprises, collectivités, administrations, associations, utilisateurs …
- CERT Coordination Center
Autres sites d'information
- SecurityFocus : Site de référence (anglophone)
- SANS Institute : Source pour la sécurité informatique, entrainement, certification, recherche (anglophone)
- SecuriTeam : Actualité et utilitaires (anglophone)
- Sécurité.Org : Sécurité informatique, réseau, cryptographie et Linux (francophone)
- Zone-h.org The internet thermometer : Nouvelles et avis de sécurité journaliers, base de données des cybercrimes (francophone/anglophone)
- Mindkind : E-zine sur le hacking (francophone)
Entreprise en sécurité informatique
- Gardien Virtuel : Entreprise spécialisée dans les services de la Sécurité Informatique (francophone, Canadien)