You are on page 1of 79

Septembre

Scurit informatique
Guide de sensibilisation

2006

Accompagner

Sommaire

GUIDE SSI
Guide de sensibilisation la scurisation du systme dinformation et du patrimoine informationnel de lentreprise Prsentation
Guide de sensibilisation la scurisation du systme dinformation et du patrimoine informationnel de lentreprise Quels sont les risques associs aux usages ? Recommandations Sites et adresses utiles Contributeurs Lexique des principaux termes utiliss
5 8 11 12 13 14

Fiches
Fiche 1 : Btir

une politique de scurit la lgislation en vigueur et la jurisprudence du personnel en uvre des moyens appropris la confidentialit des donnes en uvre un plan de sauvegarde en uvre des moyens de dfense minimums

17 19 22 25 28 30

Fiche 2 : Connatre Fiche 3 : Mettre

Fiche 4 : Sensibilisation Fiche 5 : Mettre Fiche 6 : Mettre Fiche 7 : Mettre

en uvre des moyens de dfense minimums pour les connexions sans fil une barrire de scurit entre les donnes externes et internes la mise en uvre et la maintenance de la politique de scurit

33 35 36 38 39 40

Tableau rcapitulatif de la dmarche minimum de scurisation d'un rseau Wi-fi


Fiche 8 : tablir Fiche 9 : Grer

et maintenir la politique de scurit

Fiche 10 : Externaliser

Les 10 points cl dun contrat dexternalisation

Glossaire
Les termes techniques Les organismes
43 75

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Prsentation

Guide de sensibilisation la scurisation du systme dinformation et du patrimoine informationnel de lentreprise


Avertissement : Le prsent document a pour unique vocation de sensibiliser la scurisation des systmes dinformation. Le MEDEF dcline toute responsabilit en ce qui concerne lutilisation des solutions prconises par ce guide. Ce guide ne peut aucunement se substituer aux conseils aviss de spcialistes techniques ou juridiques de la scurit des systmes dinformation.

Le besoin grandissant de communication a cr lre de linformatique rpartie et interconnecte au travers du rseau Internet. Non seulement lentreprise ne peut plus se passer de linformatique pour son fonctionnement interne, mais en plus son systme dinformation est accessible de lextrieur pour lui permettre un travail en rseau avec ses fournisseurs, donneurs dordre, partenaires et ladministration. Ce besoin de communication tant interne quexterne cre une vulnrabilit des systmes internes de lentreprise vis--vis dattaques potentielles. La gnralisation des outils nomades (tlphones mobiles, PDA, ordinateurs portables) accentue encore ces risques. Des mesures de protection homognes sont donc indispensables. La mise en uvre dun plan de scurit des systmes dinformation, et des changes, simpose aujourdhui toutes les entreprises. La scurit est lie la fiabilit du systme dinformation comprenant le rseau, les systmes, les applications, et le contenu. Mais, encore trop souvent, la dotation de solutions de scurit (produits ou services) est conscutive des attaques majeures ayant occasionn de graves dgts pour lentreprise. Pourtant, les investissements ncessaires pour pallier ce risque sont de loin infrieurs aux consquences financires de ces attaques.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Pourquoi tes-vous concern ?


Vous devez tre conscient que protger votre entreprise et ses actifs est de votre devoir, et que votre responsabilit peut tre personnellement engage (civilement et pnalement).

Quelles sont les consquences des risques ?


De la perte de temps en passant par la possible perte de confiance des clients et partenaires, une scurit dfaillante peut conduire : Une perte dinformation et de donnes ; Une perte dimage ; Une mise en cause au plan lgal ; Une remise en cause de vos assurances gnrales de perte dactivit ou spcifiques couvrant le risque de dommage post attaque. Selon le Gartner Group, 50 % des PME qui grent leur propre scurit Internet font lobjet dattaques diverses, et 60 % dentre elles ignorent quelles ont t attaques.

Quelles sont les catgories de risques ?


Les risques sont classs en quatre grandes catgories. Celles-ci peuvent tre dcoupes en fonction des dix usages dtaills au paragraphe suivant risques associs aux usages : Vol dinformations ; Usurpation didentit ; Intrusions et utilisation de ressources systmes ; Mise hors service des systmes et ressources informatiques.

Quelles sont les consquences financires directes ?


En France, dans 86 % des cas de sinistres du systme dinformation, limpact financier est absorb par la trsorerie courante de lentreprise (Source : rapport 2002 du Clusif). Selon ltude TNS-Sofres (novembre 2003 et janvier 2004), les attaques virales ont touch 44 % des entreprises dont 50 % ont d cesser leur activit pendant plusieurs heures (36 % ayant perdu des donnes). On distingue trois catgories de cots directs : Cots dimmobilisation Larrt de linformatique entrane un ralentissement notable de lactivit, voire la paralysie de lentreprise. Cots du temps pass Recherche de lorigine de lattaque, tentatives de rparation en interne, restauration des donnes, ressaisies de fichiers perdus, rorganisation, etc. Cots techniques Remplacement dun disque dur de micro-ordinateur, intervention dun expert pour radiquer un virus ayant contamin lensemble du rseau, rinstallation dun programme ou dun serveur, etc.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Aux tats-Unis, selon lenqute ralise en 2003 par le CSI (Computer Security Institute) et le FBI, de nombreuses socits consultes ont dclar avoir subi des sinistres avec un impact financier significatif
Sinistre Usage abusif dInternet Contamination par virus Vol de PC Accs des donnes confidentielles via IInternet Intrusion des Systmes dInformation (SI) Vol informatique dans lentreprise Fraude financire % entreprises sinistres * 97 % 90 % 69 % 55 % 31 % 26 % 14 % Impact financier moyen 93 KUS$ 45 KUS$ 87 KUS$ 143 KUS$ 103 KUS$ 1 848 KUS$ 1 477 KUS$

* Une mme socit subit gnralement diffrents types de pertes ce qui explique un total suprieur 100 %.

Les risques sont-ils dpendants des usages ?


Compte tenu de la diversit des risques et des systmes dinformation, il ny a pas de solution toute faite, mais autant de rponses que dusages : - Votre entreprise stocke sur ses systmes des donnes confidentielles et stratgiques pour son dveloppement ? - Vous changez, via Internet, des donnes importantes avec vos clients ou prospects (par exemple gestion de commande, ou appel doffres dmatrialiss) en utilisant des moyens tels que mails, transferts de fichiers, site web, connexions Extranet ? - Vous avez plusieurs tablissements interconnects ? - Vous avez un site Web connect ou non vos systmes ? - Vous avez dploy un ou des rseaux Wi-Fi ? - Vos collaborateurs peuvent consulter ces donnes depuis lextrieur via Internet ? - Vos collaborateurs, nomades ou non, disposent de leur propre connexion Internet par modem tout en tant connects sur votre rseau ? - Vos collaborateurs sont quips de moyens mobiles de prsentation et de communication (portables, assistants, tablettes, tlphones mobiles intelligents) ?

Si vous avez rpondu

OUI au moins
une de ces questions sans avoir pris de prcautions particulires, vous tes concerns par ce guide.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Quels sont les risques associs aux usages ?


Les informations dtailles ci-contre vous aideront mieux cerner les risques associs aux usages. Les fiches associes ont t conues pour vous permettre dapprofondir les solutions en fonction des risques et des usages.

Fiche 1 (voir page 17)


Point cls : Vous navez pas fait linventaire des biens protger et vous ne connaissez pas vos failles de scurit ventuelles. Votre scurit nest pas aborde comme un projet appel Politique de scurit . Vos actions ne sont pas coordonnes et suivies. Une politique de scurit est illusoire sans valuation rgulire contre les nouvelles menaces et les changements dorganisation de lentreprise. Solution : Btir une politique de scurit : Identifier et faire lestimation des biens protger. valuer les usages Internet de lentreprise et les risques associs. Sensibiliser vos salaris au respect des rgles de base. Faire un tat des lieux. Btir la politique de scurit.

Fiche 2 (voir page 19)


Point cls : Vous navez pas connaissance de vos obligations lgales.
Pourtant les lois, rglements et accords professionnels sont contraignants et peuvent engager votre responsabilit personnelle : Dommages causs aux tiers (responsabilit de lemployeur engage du fait de son salari en cas par exemple de consultation dun site illicite, de violation du droit dauteur, de fraude informatique). Dommages causs lentreprise (atteinte la confidentialit ou modification des donnes comptables). Solution : Connatre la lgislation en vigueur et la jurisprudence : Quel est le rgime gnral de responsabilit qui vous est applicable ? Quelles sont les rgles respecter concernant lutilisation des moyens de communication lectronique ? Quelles sont les rgles concernant les contenus informationnels ? Quelle est la responsabilit du chef dentreprise quant son activit sur lInternet ? Alerter et dposer plainte.

Fiche 3 (voir page 22)


Point cls : Vos donnes confidentielles peuvent tre interceptes.
Vos systmes dinformation et vos applications voluent avec votre activit. Votre personnel change de fonction, de responsabilits. Dans chaque entreprise mme non informatise, il existe un accs diffrenci linformation en fonction des niveaux de responsabilit des collaborateurs. Vous grez les entres et sorties au plan administratif, mais pensez-vous changer vos mots de passe lorsquun collaborateur vous quitte, et plus encore lui avez-vous supprim sa connexion/son mot de passe ? A dfaut dune bonne gestion des moyens didentification et de scurisation des changes, les donnes sensibles (comptabilit, paye, fichier client et prospect, brevets, plans, ) peuvent tre accessibles par des personnes non autorises ayant accs au rseau en interne ou en externe. Solution : Mettre en uvre des moyens appropris la confidentialit des donnes : Contrler laccs aux donnes et applications (identification). Scuriser les changes sur Internet (protocoles scuriss). Scuriser les changes de donnes confidentielles. Notions de base sur les certificats, la signature lectronique et le chiffrement.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Fiche 4 (voir page 25)


Point cls : Vous navez pas associ vos collaborateurs votre projet
Politique de scurit . Vos collaborateurs ne peuvent adhrer au respect des rgles de bonne conduite, sous la forme dune charte dutilisation. La plus grande partie des brches de scurit sont ouvertes par le fait des salaris, souvent par manque de formation/sensibilisation, quelquefois par intention frauduleuse. Lactivit frauduleuse dun pirate informatique peut tre facilite par une action pralable dite d ingnierie sociale consistant se prsenter vos salaris sous une fausse identit pour obtenir des informations confidentielles. Solution : Sensibiliser vos salaris : Les 3 rgles dor de lutilisateur form. Mise en uvre des 3 rgles par la Charte dUtilisation. Contenu et cadre juridique de la charte.

un piratage beaucoup plus facile des informations que vous changez. Solution : Mettre en uvre des moyens de dfense minimums pour les connexions sans fil : Particularit des rseaux sans fil. Huit moyens de dfense adapts.

Fiche 8 (voir page 36)


Point cls : Vous navez pas envisag de prcautions supplmentaires lors de la mise en place dun site Web ou de procdures de tltravail. Pourtant un site web vous rend trs visible depuis lextrieur et vous expose la curiosit. Votre site est un moyen dchange. Le serveur Web est connect vos systmes internes aprs filtrage par le pare-feu. Les pirates disposent doutils sophistiqus (mais accessibles sur le Web) ou trs simples pour tester vos moyens de dfense et la faiblesse de vos applications. Si vos collaborateurs travaillent distance et se connectent vos systmes internes, sans prcautions supplmentaires, ils peuvent mettre en pril la confidentialit de vos donnes. Solution : tablir une barrire entre les donnes externes et internes : Deux usages. Trois moyens de protection supplmentaires.

Fiche 5 (voir page 28)


Point cls : Vous navez pas prvu de plan de reprise dactivit, de plan de sauvegarde. Pourtant une entreprise peut tarder sapercevoir que certaines donnes ont t corrompues, accidentellement, intentionnellement. Le temps perdu reconstituer les donnes excdera largement linvestissement dans la mise en uvre de sauvegardes. Solution : Mettre en uvre un plan de sauvegarde : Politique de sauvegarde. Procdures de sauvegarde. Procdures de restauration. Maintenir la politique de sauvegarde.

Fiche 9 (voir page 38)


Point cls : Vous pensez peut-tre que la scurit est tablie une fois pour toutes. Le dfaut de maintenance est aussi dangereux que linconscience car il peut crer un sentiment de fausse scurit. Solution : Grer et maintenir les politiques de scurit : Les risques lis au changement. Maintenance minimum. Moyens.

Fiche 6 (voir page 30)


Point cls : Vous navez pas mis en uvre les moyens minimums de scurit. Pourtant lordinateur utilis pour se connecter est identifi par un numro unique (adresse IP) et peut tre vulnrable. Vous tes visible depuis le monde Internet. Vous devenez une cible sans le savoir pour des attaques virales gnralises (virus, vers, spyware), et pour des attaques cibles par un pirate informatique. Vos systmes, sous contrle de tiers, deviennent le rceptacle de chevaux de Troie qui serviront neutraliser votre site, pntrer vos donnes, ou utiliser vos systmes pour attaquer des tiers vous mettant en situation lgalement dangereuse. Solution : Mettre en uvre des moyens de dfense minimums : Bloquer les attaques automatises. Limiter les brches ouvertes. Limiter la prolifration virale. Dtecter les anomalies.

Fiche 10 (voir page 39)


Point cls : Vous manquez de ressources en interne.
Vous considrez que la scurit des systmes dinformation nest pas votre mtier et vous ne connaissez pas les opportunits et les risques de la sous-traitance. Vous craignez de ne pouvoir y consacrer suffisamment de ressources et que par la suite la scurit ne soit quillusoire (installer un pare-feu, un antivirus sans les maintenir pendant que vos structures voluent et que les menaces se renouvellent sans cesse). Solution : Externaliser la mise en uvre et la maintenance de la politique de scurit : Installation et configuration. Maintenance sur site. Externalisation. Les 10 points cl dun contrat dexternalisation.

Fiche 7 (voir page 33)


Point cls : Vous avez dploy des connexions sans fil (connexions Wi-Fi, bientt Wi-Max, liaisons Bluetooth, postes nomades). Ce mode de connexion, pourtant bien pratique, est susceptible, si aucune prcaution supplmentaire nest prise, de permettre

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Combien a cote ?
La russite de mise en place dune politique de scurit repose sur un quilibre entre les cots des moyens mis en uvre et les bnfices obtenus. Le cot de mise en uvre dune politique de scurit est extrmement variable et peu de donnes comparatives sont disponibles.

Lordre de grandeur de cet investissement peut tre mis en regard des cots que pourrait vous causer une attaque aux biens matriels de lentreprise (donnes ressaisir, bases de donnes reconstruire, applications redployer, ) et/ou aux biens immatriels (image, perte de confiance des clients ou perte de productivit des salaris). Linvestissement est prventif selon le mme principe quune assurance. La mise en uvre dune politique de scurit peut apparatre comme complexe certains. Ce guide et ses annexes (accessibles en ligne sur http://www.medef.fr) rend cette complexit accessible chacun de nous et prsente des solutions simples pour atteindre, en fonction des usages, un niveau de scurit minimum.

Dans certains cas le cot peut tre relativement bas pour un niveau de protection minimum. Par exemple, les mises jour de scurit de votre systme dexploitation sont en gnral gratuites ; les cots dun antivirus (attention bien effectuer les mises jour), anti-spam, pare feu de bonne qualit (attention bien le faire configurer) sont la porte de tous (jusqu quelques milliers deuros).
Mais ce niveau minimum se rvlera rapidement insuffisant si vous souhaitez mettre en place un niveau dauthentification pour laccs aux donnes sensibles de votre entreprise (liste et usages des clients, propositions concurrentielles, prospects, brevets, etc.).

Dans dautres cas, si vous disposez par exemple de votre propre site web et quil communique avec vos donnes internes (par exemple par le biais de formulaires que vous demandez vos prospects de remplir), la mise en uvre dune politique de scurit peut se rvler plus complexe et donc plus coteuse (quelques dizaines de milliers deuros).

10

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Protection minimum
Il est de votre responsabilit de garantir un niveau minimum de protection de vos systmes informatiques. Lensemble des actions peut tre ralis par vos soins ou par un prestataire externe (socit spcialise ou oprateur de tlcommunications). Il existe des solutions mutualises trs abordables au plan financier.

Ces oprations doivent tre ralises rgulirement : - certaines un rythme hebdomadaire (mise jour des signatures antivirus et des correctifs logiciels de scurit disponibles, etc.). - et dautres au minimum tous les trimestres (vrification des versions du moteur antivirus, vrification des vulnrabilits, application de la politique de scurit, configuration des firewalls, mise jour du plan de scurit, etc).

Recommandations
Mettre jour rgulirement vos logiciels en tlchargeant les correctifs depuis le site de votre fournisseur, et vrifier (ou faire vrifier) rgulirement ltat des vulnrabilits potentielles de vos logiciels. A titre dexemple, sur 4.240.883 vrifications ralises, 19 % des sites sont vulnrables (mises jour non faites) et donc exposs une attaque ayant 100 % de chance de russite. Installer sur chaque machine un antivirus et faire rgulirement les mises jour intgres au contrat de maintenance (couvrant en gnral une dure dun an). A titre dexemple, sur 4.240.883 vrifications ralises, 25 % des sites vrifis ne sont pas protgs par un antivirus et 9 % des sites protgs par un antivirus nont pas une version jour. Veiller au strict respect de la confidentialit des identifications et authentifications. A titre dexemple, en 2004, 50 % des collaborateurs des entreprises franaises crivent les mots de passe et 35 % les communiquent un tiers. Installer et configurer au moins sur chaque machine un firewall logiciel. Si besoin (voir usages), installer et bien configurer un pare-feu sur le primtre externe voire installer un pare-feu rseau (pour les applications). Dfinir un plan de sauvegarde des donnes sensibles et/ou stratgiques de lentreprise.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

11

Sites et adresses utiles


Sites gouvernementaux
http://www.premier-ministre.gouv.fr le site du Premier Ministre. http://www.ssi.gouv.fr/fr/dcssi/ la Direction Centrale de la Scurit des Systmes dInformation, site thmatique institutionnel du Secrtariat Gnral de la Dfense Nationale (SGDN). http://www.service-public.gouv.fr le portail de ladministration franaise. http://www.ladocfrancaise.gouv.fr la direction de la documentation franaise. http://www.legifrance.gouv.fr lessentiel du droit franais. http://www.internet.gouv.fr le site du SIG (Service dinformation du Gouvernement) propos de lentre de la France dans la socit de linformation. http://www.adae.pm.gouv.fr lAgence pour le Dveloppement de lAdministration lectronique. http://www.telecom.gouv.fr le site de la direction ministrielle charge des tlcommunications. http://www.interieur.gouv.fr lOffice central de lutte contre la criminalit lie aux technologies de linformation et de la communication. http://www.cases.lu site du Ministre de lconomie et du Commerce Extrieur du Luxembourg, ddi la sensibilisation aux risques informatiques et la prvention de ces derniers. http://www.cnrs.fr le site du CNRS http://www.clusif.asso.fr le club de la scurit des systmes dinformation franais. http://www.ossir.org lObservatoire de la scurit des systmes dinformation et des rseaux. http://www.afnor.fr lAssociation Franaise pour la Normalisation. http://www.cigref.fr le Club informatique des Grandes Entreprises Franaises. http://www.adit.fr lAssociation pour la Diffusion de lInformatique Technique. http://www.medef.fr le site du MEDEF o se trouve ce guide, les 10 fiches associes et le glossaire. http://www.foruminternet.org espace dinformation et de dbat sur le droit de lInternet. http://www.cert@cert-ist.com le CERT-IST recueille et diffuse les alertes pour les entreprises de lindustrie des services et du tertiaire. OCLCTIC (Office Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de la Communication) Comptence nationale : 11, rue des Saussaies - 75800 Paris Tl. : 01 49 27 49 27 - Fax : 01 49 97 80 80 BEFTI (Brigade denqutes sur les Fraudes aux Technologies de lInformation) Comptence sur Paris et la petite couronne : 163 avenue dItalie - 75 013 Paris Tl. : 01 40 79 67 50

Organismes publics ou privs


http://www.cnil.fr la Commission nationale de linformatique et des liberts. http://www.renater.fr le rseau de la Recherche, fournisseur daccs pour les universits et les pouvoirs publics. http://www.urec.cnrs.fr lunit rseau du CNRS.

12

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Contributeurs
Ce guide a t rdig par le groupe de travail Scurit des Systmes dInformation du MEDEF, prsid par Daniel Thbault, prsident dAliacom, prsident du MEDEF Midi-Pyrnes et membre du Conseil Excutif du MEDEF. Le rapporteur du groupe de travail est Catherine Gabay, directeur Recherche - Innovation Nouvelles Technologies du MEDEF. Ce groupe de travail fait partie du Comit conomie lectronique du MEDEF, prsid par Philippe Lemoine, prsident de LASER. Ce Comit fait lui-mme partie de la Commission Innovation Recherche Nouvelles Technologies du MEDEF, prsid par Charles Beigbeder, prsident de Poweo et membre du Conseil Excutif du MEDEF. Le groupe de travail est compos des socits et associations suivantes listes dans lordre alphabtique. Les contributions de leurs reprsentants, indiqus entre parenthses, sont vivement remercies. ACE Europe (Luc Vignancour), ACFCI (Wanda Egger), AchatPublic (Dimitri Mouton), Adentis (Stphane Madrange, AFNET (Youval Eched), Alcatel (Jean-Paul Bonnet), Aliacom (Daniel Thbault), Alliance TICS (JeanPatrice Savereux), Altran (Vincent Iacolare), Axalto (Xavier Passard, Olivier Piou), Cabinet Alain Bensoussan (Benoit Louvet), Cabinet Caprioli et associs (Pascal Agosti, Eric Caprioli), Cabinet Itanu (Olivier Itanu), Cabinet S Soubelet (Sophie Soubelet-Caroit), Caisse dEpargne (Jrme Fanouillre), Cigref (Jean-Franois Ppin, Stphane Rouhier), Cisco (Philippe Cunningham), Clusif (Julien Airaud, Marie-Agns Couwez, Pascal Lointier), CNIL (Yann le Hegarat, Laurent Lim, Norbert Fort), Compuserve (Grard Ollivier), EADS (Jean-Pierre Quemard, Gilles Robine), EDS (Etienne Busnel, Robert Stakowski), ENST (Michel Riguidel), e-MYP (Yves Lon), FFA (Bernard Bertier), FIEEC (Eric Jourde), Flowmaster (Marie-Christine Oghly), France Tlcom (Philippe Bertran, Francis Bruckmann, Sylvie Burgelin, Philippe Duluc), Francis Behr, Gixel (Isabelle Boistard), Herv Schauer Consultants (Herv Schauer), HP France (Christophe Stener), IPP Technologies (B. Pourcines), La Poste (Monique Cosson, Brice Welti), Laser (Isabelle Felix, Philippe Lemoine), Lucent Technologie (Yannick Bourque, Alain Viallix), MEDEF (Eric Ingargiola, Richard Pernod, Philippe Dougier, Catherine Gabay), MEDEF Moselle (Grard Pacary), MEDEF Prigord (Valrie Sibileau), Microsoft (Thaima Samman, Stphane Senacq, Bernard Ourghanlian, Cyril Voisin), MINEFI/DiGITIP (Mireille Campana, Frdric Tatout), MINEFI/HFD (Didier Lallemand, Jean-Franois Pacault, Daniel Hadot), NetSAS (Philippe Eyries), Pompiers de Paris (Gilles Berthelot), Qualiflow (C-P Jacquemin), Rseau Echangeur (Ccile Alvergnat), SAGEM (Nicolas Goniak), Secrtariat Gnral de la Dfense Nationale (Henri Serres, Christophe Marnat, Stphane Mige, Anne-Valrie Poteau), SFIB (Xavier Autexier, Benoit Le Mintier de Lehellec), Simavelec (Bernard Heger), Stria (Eric Hayat, Thierry Harle), Socit Gnrale (Franois Coupez), Sonilog (Ada Demdoum), Supelec (Alain Bravo), Syntec Informatique (Sandra Oget, Pierre Dellis, Franck Populaire, Jean-Paul Eybert), Thals (Henry Chaignot), UNIFA (Sandrine Puig-Roger), Universit Paris 1 (Georges Chatillon). Le Comit conomie lectronique du MEDEF tient remercier plus particulirement Philippe Eyries (NetSAS), Vincent Iacolare (Altran), Francis Bruckmann (France Tlcom), Jean-Pierre Quemard et Gilles Robine (EADS), Youval Eched (Afnet), Yann le Hegarat (CNIL), Benot Louvet (Cabinet Alain Bensoussan), Cyril Voisin (Microsoft), Sophie Soubelet-Caroit (Cabinet Soubelet-Caroit), Pascal Agosti (Cabinet Caprioli et Associs), Sandra Oget (Syntec Informatique), Stphane Madrange (MEDEF Hauts de Seine Nord et Adentis) pour leur contribution exceptionnelle la ralisation de ce guide et de ses annexes.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

13

Lexique des principaux termes utiliss


Antivirus
Utilitaire capable de rechercher et dliminer les virus informatiques et autres malwares . La dtection se fait par analyse de la signature des virus connus, ou par analyse heuristique de dtection des virus inconnus partir de leur logique de programmation ou comportement lexcution.

IPsec (IP Security Protocol)


Protocole de scurisation des changes sur rseau IP, par tablissement de tunnels, authentification mutuelle et chiffrement des donnes.

LAN
Rseau local interconnectant des quipements informatiques (ordinateurs, serveurs, terminaux) dans un domaine gographique priv et limit, afin de constituer un systme cohrent.

Authentification
Vrification visant renforcer selon le besoin, le niveau de confiance entre lidentifiant et la personne associe (exemples : le mot de passe est un authentifiant faible, la carte puce est un authentifiant fort).

Log
Fichier texte tenu jour par un serveur, dans lequel il note les paramtres lis chaque connexion.

Pare-feu (Firewall) Chiffrement (Encryption)


Mcanisme de scurit permettant dassurer la confidentialit des donnes. Dispositif install une frontire du rseau, qui protge le rseau interne vis--vis de lextrieur et interdit le trafic non autoris de lintrieur vers lextrieur. Il assure les fonctions de passerelles applicatives (Proxy), dauthentification des appels entrants, daudit et denregistrement de ces appels (log).

Cl (Key)
Elment sur lequel repose le secret, permettant de chiffrer et de dchiffrer un message. Il existe des cls secrtes (utilises par les algorithmes symtriques, avec cls de chiffrement et de dchiffrement identiques) et des jeux de cls prive/publique (utilises par les algorithmes asymtriques, avec cls distinctes).

Pirate (Cracker/Hacker)
Terme gnrique dsignant celui qui craque ou attente lintgrit dun systme informatique, de la simple duplication de donnes laccs aux ressources dun centre de calcul (vol de programmes, de fichiers, ).

Dni de service (DoS)


Attaque ayant pour but de bloquer le fonctionnement de machines ou de services, par saturation dune ressource.

Pot de miel (Honeypot)


Serveur ou programme volontairement vulnrable, destin attirer et piger les pirates. Cet appt fait croire aux intrus quils se trouvent sur une machine de production normale alors quils voluent dans un leurre.

Faille de scurit
Dfaut dans un programme. Les hackers et/ou pirates informatiques et/ou script kiddies qui les dcouvrent peuvent crer des virus exploitant ces failles pour pirater un ordinateur.

Proxy
Service qui partitionne la communication entre le client et le serveur en tablissant un premier circuit entre le client et le firewall, et un deuxime entre ce dernier et le serveur (Internet).

Internet
Rseau interconnectant la plupart des pays du monde, indpendant du type de machine, du systme dexploitation et du support de transport physique utilis.

RPV (VPN) Intrusion


Pntration non autorise dun systme ou dun rseau, ayant pour but la compromission de lintgrit, la confidentialit ou la disponibilit dune ressource. Rseau priv dentreprise multi sites utilisant les rseaux doprateur pour leur interconnexion.

SLA (Service level agreements)


Engagements de la part du fournisseur sur la qualit du service fourni. Ils dterminent le niveau dindemnisation du client en cas de non atteinte dun niveau minimum de disponibilit de service.

IP (Internet Protocol)
Protocole dchange dinformations, dont lusage sest gnralis sur le rseau Internet et les rseaux dentreprises.

14

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Signature lectronique
Transformation lectronique permettant dassurer lauthentification du signataire et ventuellement celle dun document sign par lui. Une signature numrique fournit donc les services dauthentification de lorigine des donnes, dintgrit des donnes et de non rpudiation.

Spam
Message intempestif envoy une personne ou un groupe de personnes. Il faut prendre lhabitude de supprimer ce genre de messages sans les lire et sans cliquer sur aucun lien.

SSL (Secure Socket Layer)


Protocole de scurisation des changes sur Internet, intgr dans tous les navigateurs rcents. Il assure authentification, intgrit et confidentialit.

Systme dinformation (SI)


Ensemble dentits organis pour accomplir des fonctions de traitement dinformation.

Tiers de certification
Organisme charg de grer et de dlivrer les cls publiques avec la garantie quelles appartiennent bien leurs possesseurs reconnus.

Tiers de confiance
Organisme charg de maintenir et de grer, dans le respect des droits des utilisateurs, les cls de chiffrement ou dauthentification. Les tiers de confiance peuvent tre des tiers de certification ou des tiers de squestre.

Virus
Programme qui se rpand travers les ordinateurs et le rseau et qui est conu pour sauto-rpliquer Les virus contiennent souvent des charges , actions que le virus ralise sparment de sa rplication.

Vulnrabilit
Faiblesse dune ressource dinformation qui peut tre exploite par une ou plusieurs menaces.

Zone dmilitarise (DMZ : Demilitarized Zone)


Une DMZ contient un ou plusieurs services accessibles par Internet tout en interdisant laccs au rseau priv.

WLAN (Wireless LAN)


Rseaux locaux sans fils, normaliss sous la rfrence IEEE 802.11.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

15

Fiches

Fiche 1

Btir une politique de scurit


Une politique de scurit est un ensemble, formalis dans un document applicable, dlments stratgiques, de directives, procdures, codes de conduite, rgles organisationnelles et techniques, ayant pour objectif la protection du (des) systme(s) dinformation de lorganisme. Btir une politique de scurit est un projet long terme visant mettre en uvre une scurit adapte aux usages, conomiquement viable et conforme la lgislation en vigueur. Le plus souvent, il sagira de btir une politique de scurit prenant en compte les risques aussi bien internes quexternes, ainsi que la typologie du systme dinformation, la scurit devant prendre en compte la spcificit de chaque type de communication. Avant tout, il conviendra de rpondre ces trois questions : - Que dois-je protger en priorit ? Quel est mon patrimoine informationnel ? - Quels sont les risques que je cours (externes, internes) ? - Quels sont les facteurs aggravants de ces risques ? Que dois-je protger ? Quel est mon patrimoine informationnel ?
Un tat des lieux pour btir une politique de scurit adapte aux usages. Du rseau au contenu, en passant par les systmes et les applications, la segmentation de la scurit en fonction des usages, des risques potentiels et des composantes impliques est la seule dmarche qui garantisse la scurit globale pour lentreprise. Pour btir une politique de scurit adapte aux besoins et usages, il faut, chronologiquement : gestion. Attention aux services et applications obsoltes et non maintenues mais toujours rsidentes.

Dcouvrir les rseaux


Il sagit de dcouvrir les interactions des diffrents matriels/logiciels (entre eux et avec le monde extrieur), didentifier les vulnrabilits pouvant les affecter, didentifier les applications qui rsident dans les systmes et qui transitent par le rseau. Cette phase permet, en outre, de comparer lexistant rel avec linventaire prcdent. - tape 1 : Lister les moyens daccs au rseau de lentreprise depuis le monde extrieur . Un point dentre unique (passerelle daccs Internet) est plus facile scuriser mais il convient de porter une attention particulire aux diverses connexions tablies temporairement en dehors de lentreprise avec des quipements nomades, aux modems individuels (permettant la connexion directe Internet en contournant les scurits du point dentre principal) et aux rseaux locaux sans fils dont le primtre dcoute dpasse lenceinte physique de lentreprise. - tape 2 : Dtecter les vulnrabilits des systmes et applications (outil ou service en ligne voir fiche 6). - tape 3 : Identifier les flux applicatifs circulant lintrieur du rseau de lentreprise (applications mtiers, gestion des stocks, paie) et ceux communiquant avec le monde extrieur (messagerie, commerce en ligne, changes

Identifier les biens protger


- Les biens matriels et logiciels : Les serveurs et les postes de travail (fixes et nomades), les quipements dinterconnexions (routeurs, commutateurs, modems), leur localisation ou leur titulaire, le type et la version des logiciels installs. - Les donnes sensibles de lentreprise (procds de fabrication, codes sources, donnes commerciales et administratives, ) - Les services et applications : Applications mtiers internes et externes communiquant avec le monde extrieur (fournisseurs, site de commerce lectronique), applications de

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

17

avec des partenaires, ). Cette tape permettra de dcouvrir lusage des rseaux (internes ou externes) et de leur bande passante. Elle permettra aussi de dcouvrir comment les collaborateurs de lentreprise utilisent les ressources mises leur disposition pour remplir leurs tches. Les outils danalyse de flux utiliss seront par ailleurs trs utiles pour dtecter les applications (parfois non souhaites) et juger de leur importance par le volume de leurs flux. Ils permettront aussi de faire le point sur la politique daccs aux donnes (connexion et mot de passe par exemple) et de rflchir la mise en uvre de moyens plus sophistiqus (authentification forte, chiffrement) pour les donnes les plus sensibles.

Lapproche des politiques de scurit par segmentation


La connaissance acquise au cours de ces phases de dcouverte et dinventaire permettra dlaborer une politique de scurit pour dployer les moyens de protection adapts aux usages. La segmentation est la base des politiques de scurit :

Rseau
La scurit commence avec le contrle daccs appliquant une politique de scurit personnalise par site et par groupe de population, pouvant se complter par une authentification simple ou renforce.

Quels sont les risques externes ?


Attaques non cibles
Toutes les entreprises sont concernes par la propagation des virus (ou vers) ou les attaques distribues (dni de service) dont lobjectif est la prise de contrle dune machine pour lutiliser une attaque dun site tiers.

Systme
Les systmes peuvent tre htrognes ce qui complexifie leur gestion et leur mise jour. Par ailleurs, la publication rgulire de nouvelles vulnrabilits cre un risque permanent.

Application
Une application Web ouverte, par nature, au monde extrieur prsente plus de risques potentiels quune application propritaire (paie, comptabilit, gestion stock, client) utilise par une population limite.

Attaques cibles
La probabilit de risque physique (vol ou destruction de matriel) et de risque logique (attaques distantes et cibles pour veille, vol ou destruction) augmente avec la visibilit et les facteurs aggravants.

Contenu
La protection du contenu (fichier de donnes, image ou texte, programme excutable, pice jointe) doit tenir compte de sa dangerosit potentielle, de sa confidentialit pour lentreprise et des obligations lgales. Comme il est difficile de tout prvoir, faute de temps et de moyens, il conviendra au minimum de prvoir des sauvegardes et peut-tre de considrer une couverture complmentaire pour les dommages rsultant des attaques. Souscrire une assurance informatique impose de toutes faons un niveau de scurit minimum.

Quels sont les risques internes ?


La scurit doit imprativement impliquer tous les collaborateurs quil faut former la mise en uvre des politiques de scurit, car les plus grandes menaces pour la scurit informatique des entreprises viennent des utilisateurs euxmmes.

Quels sont les facteurs aggravants de ces risques ?


Nomadisme et nouvelles technologies
Postes et quipements nomades (assistants numriques de poche, tlphones volus, portables et autres PDA/Smart phones, rseaux sans fil).

La mise en uvre
Plusieurs possibilits
- Mise en uvre par des ressources internes avec acquisition des outils. - Sous-traitance un prestataire de service informatique qui pourra utiliser ses propres outils. Il faudra prvoir de le faire revenir rgulirement car les menaces voluent sans cesse. - Utilisation des services mutualiss distance par des MSSP ( Managed Security Service Providers ) pour les tests de vulnrabilits, la dcouverte de vos flux applicatifs, la gestion des moyens de protection (quipements filtrants et antivirus) et la gestion des identifications/ authentifications.

Infrastructures, services et applications mal protges


Serveurs et postes de travail non mis jour ( non patchs ) et donc vulnrables, site web mal conu, messagerie non protge.

Plan de sauvegarde inexistant ou incomplet

18

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Fiche 2

Connatre la lgislation en vigueur et la jurisprudence


Quel est le rgime gnral de responsabilit applicable ?
La responsabilit civile de lentreprise (art. 1384 alina 5 du code civil)
Lemployeur est civilement responsable du fait de lactivit de ses prposs, notamment en cas dutilisation malveillante des moyens informatiques et de communications lectroniques (ex : messagerie, forums). Sauf cas particuliers, le chef dentreprise a lobligation deffectuer une dclaration pralable de ces traitements auprs de la CNIL. Larticle 34 de la loi du 6 janvier 1978 prcise que le responsable du traitement est tenu de prendre toutes prcautions utiles pour protger les donnes caractre personnel sous sa responsabilit, notamment, pour empcher quelles soient dformes, endommages, ou que des tiers non autoriss y aient accs . Sil ne respecte pas ces obligations, le chef dentreprise sexpose des sanctions pnales (art 226-16 226-24 du code pnal) et civiles.

La responsabilit pnale de lentreprise


Lemployeur peut tre pnalement responsable du fait de ses prposs ds lors quils commettent des infractions susceptibles dengager la responsabilit pnale des personnes morales (ex : atteinte aux systmes de traitement automatis de donnes, contrefaon) et quelles ont t commises pour le compte de lentreprise par ses organes ou reprsentants (article L. 121-2 du code pnal).

Les reproductions ou reprsentations non autorises dun contenu informationnel protg


La responsabilit du chef dentreprise peut galement tre engage si ses prposs utilisent dans le cadre de leur mission des logiciels pirats . De mme, la responsabilit du chef dentreprise peut tre engage dans lventualit o ses prposs utiliseraient les ressources informatiques de lentreprise pour stocker et/ou rendre accessibles des contenus protgs (logiciels, musiques, films etc.).

Quelles sont les rgles concernant les contenus informationnels ?


Les rgles en matire de donnes personnelles
La loi Informatique et Liberts du 6 janvier 1978 impose au chef dentreprise de prendre le plus grand soin des donnes personnelles collectes auprs de clients comme de salaris. De faon gnrale, les droits garantis des personnes dont les donnes sont traites sont : - Le droit linformation pralable - Le droit daccs aux donnes traites qui les concernent - Le droit de rectification de ces donnes - Le droit de sopposer au traitement de ces donnes (collecte, utilisation, diffusion)

Le secret des correspondances prives


Le chef dentreprise doit veiller au respect du secret des correspondances prives, lectroniques ou non au sein de son entreprise.

Prcaution recommande
Le chef dentreprise doit prendre les plus grandes prcautions en matire de surveillance par la mise en place dune charte dutilisation des moyens informatiques et des communications lectroniques (voir fiche 4 et rapport Cyber-Surveillance sur les lieux de travail www.cnil.fr).

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

19

Quelle est la responsabilit du chef dentreprise quant son activit sur lInternet ?
Identification de lentreprise sur son site Internet
Sous peine de sanction pnale, le cybercommerant est tenu dassurer la mise disposition du public d un accs facile, direct et permanent utilisant un standard ouvert , aux informations suivantes : - Coordonnes de lentreprise et de ses responsables : sa dnomination ou raison sociale ; ladresse de son sige social ; un numro de tlphone et une adresse de courrier lectronique o il est possible de joindre la socit ; son numro dinscription au registre du commerce ; son capital social ; le nom du directeur de la publication ; information sur les prix (frais de livraison) ; - Coordonnes du prestataire hbergeant le site sur lInternet : raison sociale, adresse et numro de tlphone (ou mention que le site est hberg sur les propres serveurs de lentreprise) ; - Taxe sur la valeur ajoute : numro individuel en application de larticle 286 ter du code gnral des impts, numro individuel didentification ; - Profession rglemente : la rfrence aux rgles professionnelles applicables, son titre professionnel, lEtat membre dans lequel il a t octroy ainsi que le nom de lordre ou de lorganisme professionnel auprs duquel elle est inscrite ; si son activit est soumise un rgime dautorisation, le nom et ladresse de lautorit ayant dlivr celle-ci.

La publicit par voie de courrier lectronique doit tre identifie


Le titre du message doit suggrer son caractre publicitaire, lidentit de la socit mettrice doit tre indique, le destinataire du message doit disposer de la possibilit effective de sopposer lavenir la rception de tels messages (droit dopposition ou opt-out). Lentrepreneur en ligne doit recueillir le consentement pralable (opt-in) des personnes physiques quil compte prospecter directement par systmes automatiss dappel, tlcopieurs ou messages lectroniques sauf exceptions poses par la loi. Tout manquement au consentement pralable peut tre pnalement sanctionn ( lheure actuelle [juin 2005], 750 EUR damende par message).

La conclusion de contrats en ligne est soumise larticle 1369-1 et suivants du Code civil
- Loffre doit prsenter les tapes suivre pour la conclusion du contrat ; - Loffre doit prciser si le contrat est archiv et accessible aprs sa conclusion ; - Loffre doit fournir les moyens de corriger les erreurs commises dans la saisie des donnes ; - Loffre doit indiquer les langues proposes pour la conclusion du contrat ; - Loffre doit prciser les rgles professionnelles auxquelles lauteur de loffre entend se soumettre. Lacceptation de loffre par le client se manifeste par un geste lectronique (le clic) ou par lutilisation dun procd de signature lectronique au sens de larticle 1316-4 du Code civil. Le lgislateur a pos une prsomption de responsabilit lgard du commerant en ligne concernant la bonne excution des obligations rsultant du contrat.

20

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Que faire en cas dattaque ?


Lentreprise peut tre victime dune attaque contre son systme dinformation (voir Guide et fiche 1). Elle doit en ce cas :

Prendre toutes les mesures permettrant de conserver la preuve des faits dont elle est victime
- faire une copie physique du disque dur concern (image) qui sera stocke sur un support diffrent ; isoler sur un autre support le fichier de journalisation (log) concern, si possible aprs lavoir dat et sign lectroniquement ; - faire procder un constat des oprations effectues par un huissier de justice.

Quelles sont les exigences de la loi de scurit financire du 1er aot 2003 (LSF) en matire de scurit des systmes dinformation des entreprises ?
La LSF a introduit dans le code de commerce les articles L. 225-37 et L. 225-68 qui prvoient pour les socits anonymes, que leur prsident du conseil dadministration ou du conseil de surveillance doit rendre compte dans un rapport spcifique des conditions de prparation et dorganisation des travaux du conseil ainsi que des procdures de contrle interne mises en place par la socit . Ce rapport annuel devra notamment exposer les procdures de contrle interne concernant la scurit du systme dinformation de lentreprise, garantie notamment de lintgrit des informations comptables quil traite. Aux termes de larticle L. 225-235 du code de commerce, le commissaire aux comptes devra, quant lui, dans un rapport distinct de son rapport de certification des comptes annuels, prsenter ses observations sur les procdures de contrle interne qui sont relatives llaboration et au traitement de linformation comptable et financire dcrites dans le rapport spcifique du chef dentreprise. Il est noter que des mesures du mme ordre sont galement prescrites par la loi amricaine Sarbanes-Oxley du 29 aot 2002 mais ne concerne que les entreprises cotes aux tats-Unis.

Alerter les instances de scurit des rseaux


- Informer le CERT-IST (le CERT-IST recueille et diffuse les alertes pour les entreprises de lindustrie des services et du tertiaire) 9, rue du Prsident Allende - 94 526 Gentilly Cedex Tl. : 05 34 35 33 88 - Fax : 05 34 35 33 89 cert@cert-ist.com - Lutilisation dInternet ou lattaque dun systme dinformation des fins despionnage, de terrorisme ou de pillage du patrimoine conomique est de la comptence de la DST (Direction de la Surveillance du Territoire). Une cellule spcialise dans cette criminalit informatique peut tre jointe au 01 40 57 99 42.

Dposer une plainte pnale


- Des dispositions du Code pnal (articles 323-1 et 323-7) sanctionnent les atteintes aux systmes de traitement automatis de donnes (STAD) telles que par exemple lintrusion dans le systme dinformation, laltration de son fonctionnement - Prendre contact avec le SRPJ ou la brigade de Gendarmerie du lieu des faits objets de la plainte (par exemple lieu du serveur attaqu) ; - ou lOCLCTIC : (Office Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de la Communication) - Comptence nationale : - 11, rue des Saussaies - 75800 Paris - Tl. : 01 49 27 49 27 - Fax : 01 49 97 80 80 ; - ou le BEFTI : (Brigade denqutes sur les Fraudes aux Technologies de lInformation) - Comptence sur Paris et la petite couronne : - 163, avenue dItalie - 75013 Paris - Tl. : 01 40 79 67 50

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

21

Fiche 3

Mettre en uvre des moyens appropris la confidentialit des donnes


Pour rappel, 80 % des dommages au patrimoine informatique ou informationnel de lentreprise proviennent de malveillances internes, volontaires ou non. Certaines de vos donnes lectroniques sont sensibles et font partie du patrimoine immatriel de lentreprise. Elles doivent donc tre protges. Contrler laccs aux donnes et applications
Identification et Profil
Une organisation des profils utilisateurs et des moyens didentification de chacun dentre eux est le minimum obligatoire pour viter laccs libre vos informations (voir risque lgal fiche 2).

changes sur Internet


Dans le cadre dune utilisation standard des moyens dchanges lectroniques de donnes sensibles (votre n de carte bleue par exemple) la politique minimale des sites consiste passer du mode standard sur Internet au mode scuris. Ce changement est visible par la mention https dans votre barre de navigation, accompagne ventuellement dun cadenas en bas droite de votre navigateur. Le protocole https permet de chiffrer lchange lectronique pendant son transfert entre lexpditeur et le destinataire, empchant ainsi quiconque de le lire.

Droits daccs
chaque profil doivent tre associs des droits daccs lis aux prrogatives du salari. Certaines informations doivent pouvoir tre accessibles en lecture seule, dautres en mise jour ou suppression selon les responsabilits de chacun.

changes de donnes critiques et confidentielles (fiscales, juridiques, mdicales, etc.) ou lies au secret professionnel
La loi sanctionne la violation du secret professionnel dans le cas o les solutions adquates nauraient pas t utilises : - La premire solution consiste utiliser des outils de chiffrement intgrs votre messagerie lectronique, coupls avec des certificats. Ces solutions sont peu onreuses, mais leur mise en uvre nest pas aise et ne vous donne pas de garantie absolue. - La deuxime solution consiste utiliser des services de messagerie scurise, commercialiss par des socits spcialises. Il est bien entendu conseill de privilgier les services dune socit reconnue et prenne, afin davoir le maximum de garantie. Ces offres reposent sur le principe suivant : - connexion de lmetteur du message un site scuris et dpt du message, - notification (via un e-mail) par le serveur scuris au destinataire quil a reu un message, - tlchargement par le destinataire du message sur le serveur intermdiaire scuris. Toutes ces oprations et changes se droulent sous protocole dchanges chiffrs https.

Mots de Passe
Les mots de passe sont prfrentiellement cods sur 8 caractres alphanumriques changs rgulirement (voir fiche 4).

Administration
Pour contrler laccs votre rseau dentreprise ou chaque poste de travail, vous aurez recours un minimum dadministration qui vous permettra, par exemple, de grer aussi soigneusement les dparts de personnels que les entres (les codes daccs dun salari qui quitte lentreprise doivent tre immdiatement bloqus).

Scuriser les changes


Risques
Si vous nutilisez pas de solutions scurises, un tiers malveillant peut utiliser vos donnes sensibles des fins frauduleuses et vos dpens (usurpation didentit ou de coordonnes bancaires, espionnage industriel).

22

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

- La troisime solution consiste utiliser des services de messagerie scurise, associs des certificats de signature lectronique. Cette solution permet non seulement une excellente scurit au plan technique, mais assure galement le caractre probant de lchange grce la signature lectronique.

Moyens existants
La signature lectronique
Le mot signature est utilis ici dans un sens largi, mais il faut rappeler quen droit franais, signature vaut identification. - Composantes. La signature lectronique est forme de trois composantes : - le document porteur de la signature, - la signature elle-mme, - le certificat lectronique authentifiant le signataire. - Technologie. La signature lectronique sappuie sur une technologie appele PKI (Public Key Infrastructure, ICP : Infrastructure Clefs Publiques, en franais). - Autorits. Cette technologie ncessite la dlivrance par des socits appeles Autorits de Certification (AC) de certificats de signature lectronique. - Lautorit de certification (AC) dfinit une politique de certification, et la fait appliquer. Lautorit de certification est responsable vis vis de ses clients, mais aussi de toute personne se fiant un certificat quelle a mis, de lensemble du processus de certification et donc de la validit des certificats quelle met. Certaines AC sont reconnues par les pouvoirs publics (Ministre des Finances, Minefi). - Lautorit denregistrement (AE) vrifie que le demandeur de signature lectronique est bien la personne quil prtend tre, et ce conformment aux rgles dfinies dans la politique de certification. Lautorit denregistrement a un rle essentiel didentification. - Loprateur de certification (OC) assure la fourniture et la gestion des certificats lectroniques. Son rle consiste mettre en uvre une plate-forme technique scurise, et ce dans le respect des exigences nonces dans la politique de certification. Il assure les prestations techniques, en particulier cryptographiques, ncessaires au processus de certification.

- Types de signatures (certificats). Il existe aujourdhui, en droit franais, 3 types de signature lectronique : - La signature lectronique (effectue avec des certificats de classe 1) : elle permet de contrler lintgrit du document, mais pas lidentit du signataire (les certificats de classe 1 sont remis selon un processus de contrle trs lger). - La signature lectronique scurise (effectue avec des certificats de classe 2 et/ou 3) : elle permet de contrler lintgrit du document et dassurer une authentification forte du signataire (par exemple : le Minefi accepte ce type de signature pour les dclarations de TlTVA). Plus la classe est leve, plus le lien entre la cl publique tablie par le certificat lectronique et la personne physique est certain . - La signature lectronique scurise PSC (effectue avec des certificats qualifis , voir arrt du 26 juillet 2004.) : il nexiste pas aujourdhui doffres permettant de telles signatures lectroniques mais les premiers PSC devraient tre certifis au printemps 2005 (ds approbation du rfrentiel du COFRAC prpar lautomne dernier avec la DCSSI et lADAE). - Exemples. Les tl-procdures vous imposent de vous identifier ou de signer votre dclaration lectroniquement. Dans le cas des tl-procdures, le risque est essentiellement rglementaire ou juridique. Il faut vous conformer aux exigences des procdures de dmatrialisation des actes juridiques selon les modalits inscrites dans les textes de lois autorisant les dclarations et changes administratifs par voie lectronique (en principe ces exigences sont clairement indiques sur le site Internet). Quelques exemples : - Tl-TVA est lune des premires tl-procdures accessibles lensemble des entreprises pour la dclaration de la TVA par voie lectronique. Le site du Minefi donne toutes les prcisions ncessaires, dont les AC (autorits de certification) agres. - La scurisation des changes entreprises/acheteurs publics dans le cadre de la dmatrialisation des procdures de commande publique ncessite lutilisation de certificats, selon des modalits dfinies par lentit publique acheteuse. - La facturation lectronique est maintenant autorise : elle pourra requrir lusage dun certificat de signature lectronique scurise.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

23

Le Chiffrement
Il consiste traiter une information par un procd mathmatique, de sorte que seules les personnes possdant la cl approprie puissent rtablir, lire et traiter ladite information. - Principe. Le principe des techniques de chiffrement est dutiliser un code pour chiffrer les messages et un code pour les dchiffrer. Ces techniques existent depuis lantiquit (par exemple, Jules Csar utilisait des messages chiffrs pour communiquer avec ses gnraux). En 1976, Diffie et Hellmann inventent le procd de chiffrement cl publique. Lide est que la cl est spare en deux parties, lune pouvant tre divulgue et lautre devant rester confidentielle. - Catgories. Il existe 2 grandes catgories de chiffrement : - Le chiffrement symtrique (aussi appel chiffrement cl prive ou chiffrement cl secrte) consiste utiliser la mme clef pour le chiffrement et pour le dchiffrement. - Il faut prvoir que chacun utilise une cl diffrente pour communiquer avec chaque correspondant. - Le principal inconvnient dun crypto-systme clefs secrtes provient donc de lchange des cls : le chiffrement symtrique reposant sur lchange dun secret (les cls), se pose le problme de la distribution des cls. - Le chiffrement asymtrique (aussi appel cryptosystme cls publiques), est bas sur le principe que les cls existent par paires (on parle souvent de bi-cls): une cl publique pour le chiffrement et une cl prive ou secrte pour le dchiffrement. - Ce qui a t chiffr par la cl publique ne peut tre dchiffr quavec la cl prive et ce qui a t chiffr par la cl prive ne peut tre dchiffr quavec la cl publique. - Les utilisateurs choisissent une cl alatoire dont ils sont seuls connaisseurs (il sagit de la cl prive). A partir de cette cl, les utilisateurs dduisent chacun automatiquement un algorithme (il sagit de la cl publique). Les utilisateurs schangent cette cl publique au travers dun canal non scuris.

- Mthodes de chiffrement. Dans les changes lectroniques des donnes, on emploie toute une srie de mthodes de chiffrement, comme SSL ou PGP, consistant crypter les donnes soit avant, soit pendant leur transfert : - SSL est un protocole de transfert de donnes qui permet de chiffrer lchange lectronique pendant son transfert entre lexpditeur et le destinataire. Cette forme de transmission crypte des donnes est surtout utilise pour les services bancaires en ligne et pour le commerce lectronique, par exemple pour la transmission de donnes confidentielles (mots de passe, numros de cartes de crdit) entre un navigateur et un serveur. - PGP est un procd de chiffrement hybride, qui sert crypter des donnes au moyen dune cl publique et les dchiffrer laide dune cl prive. PGP est actuellement le systme le plus employ pour le chiffrement du courrier lectronique.

La Biomtrie
Cest un moyen reconnu comme tant de plus en plus fiable pour vrifier lidentit lectronique des personnes mais les textes nen prvoient pas encore lusage de manire explicite. Cest donc une technologie dont la monte en charge est suivre dans les annes qui viennent.

24

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Fiche 4

Sensibilisation du personnel
La scurit est laffaire de chacun des employs. Une bonne politique de scurit doit tre partage et comprise par tous. La plus grande partie des brches de scurit sont le fait des salaris par ignorance ou par intention frauduleuse (vol de donnes et transfert par Internet). Comment se protger ? Les 3 rgles dor de lutilisateur
Ne pas faire confiance un tiers
(pouvant tre un manipulateur pratiquant l ingnierie sociale ), en nhsitant pas demander des justifications complmentaires et en mettant en pratique systmatiquement le contre appel, mme si tout laisse penser que ce tiers dispose de lautorit ncessaire (usurpation frquente didentit). - viter les tlchargements et installation sans autorisation. Faire valider toute installation de matriel/logiciel sur lquipement bureautique. - Respecter les rgles de connexion depuis lextrieur. Faire valider toute installation pouvant permettre de se connecter sur le rseau interne depuis lextrieur du primtre de lentreprise.

Pratiquer librement lautocensure


Rserver au seul usage professionnel les moyens informatiques et le rseau de la socit et accepter de limiter laccs certains sites et le transfert de fichiers dangereux ou de taille importante.

Prserver son identification


Ne communiquer (ou laisser accessible) aucun mot de passe et code daccs personnel. Bien choisir le mot de passe (8 caractres alpha numriques sont recommands, sans rfrence ltat civil personnel ou de personnes proches) et veiller au renouvellement tous les trois six mois. Mais la longueur et la complexification des mots de passe ne sont pas toujours positives, les utilisateurs sont en effet souvent amens les noter sur un papier ou les oublient tout simplement. En France, contrairement aux autres pays, il a t constat en 2004 une augmentation des utilisateurs qui notent leurs mots de passe. En moyenne sur 100 personnes, 50 crivent le mots de passe et 35 le communiquent un tiers ! (source tude SafeNet 2004 portant sur 67000 entreprises en France, UK, Allemagne et USA).

Mise en uvre des 3 rgles La charte dutilisation


Objectif
La mise en place dune Charte assure la protection du systme dinformation, limite la responsabilit de lentreprise et de ses dirigeants et sapplique tous les utilisateurs.

Nature juridique
Cette charte a une valeur dabord informative puis normative lorsquelle est accepte par le salari. La Charte dutilisation sera au choix : - Une annexe du Rglement Intrieur (la mise en place de la Charte et sa modification suivront la procdure applicable au Rglement Intrieur), - Un document unilatral qui peut prendre la forme dune note interne et qui rpond une procdure dinformation (collective et individuelle) et de consultation mais qui renverra dans tous les cas au Rglement Intrieur de lentreprise pour les sanctions disciplinaires applicables en cas de violation.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

25

Avis du comit dentreprise


La Charte doit tre soumise au Comit dentreprise pour avis conformment lArticle L. 432-2-1 alina 3 du Code du travail (ou conformment lArticle L.122-36 du Code du travail lorsque la Charte est porte en annexe du Rglement Intrieur).

Contenu
La Charte dfinit clairement et de faon transparente les modalits et limites de lutilisation des moyens informatiques mis la disposition du salari par lentreprise. - Protection/scurit et confidentialit du systme dinformation dont les dispositions encadrant la cybersurveillance. - Accs au rseau scuris et protg par des mots de passe accords un utilisateur ou lensemble des utilisateurs du systme dinformation et confidentialit de ces derniers. - Mise en place de pare-feux et obligation qui incombe aux responsables de les mettre jour rgulirement. - Obligation pour lutilisateur deffectuer des sauvegardes rgulires afin de minimiser le risque de perte de donnes. - Lintroduction de tout nouveau matriel, programme ou logiciel est interdite aux utilisateurs sans autorisation de lemployeur ou de ladministrateur du systme dinformation.

- Mise disposition et limites dutilisation de la messagerie par les salaris et les institutions reprsentatives du personnel (dont certaines dispositions encadrant la cybersurveillance). - Droit pour le salari dutiliser la messagerie lectronique mise sa disposition des fins prives dans la limite du raisonnable, - Obligation pour lutilisateur de distinguer les donnes professionnelles des donnes caractre priv, - Possibilit pour lemployeur de sanctionner lutilisation prive de la messagerie lorsquelle est abusive et compromet le fonctionnement normal de la messagerie professionnelle. - Limitation du format, du type et de la taille des messages lectroniques. La taille des messages lectroniques ne devra pas venir compromettre le bon fonctionnement du systme dinformation et notamment sa performance, - Possibilit pour lemployeur de modifier ces mesures par note de service. - Rgles relatives lutilisation dInternet - Mesure dans laquelle la consultation dInternet des fins prives est permise au salari (une consultation raisonnable est socialement admise, la Charte ne doit pas tre abusive en dictant une interdiction absolue. Cette utilisation ne doit pas venir perturber le travail du salari ou de ses collgues), - Interdiction de tlcharger des uvres protges et rappel des rgles selon lesquelles la responsabilit de lemployeur peut tre engage en cas de tlchargement par un utilisateur duvres protges sans lautorisation des ayants droits (logiciel, fichiers mp3), - Interdiction de consulter des sites illicites (liste exhaustive des sites que lutilisateur est en droit de consulter ou exclusion des sites contraires aux bonnes murs tels que les sites activistes, pdophiles ou pornographiques), - Droit pour lemployeur, en cas de violation de cette disposition, de dnoncer lutilisateur aux autorits comptentes, - Interdiction de participer des forums sauf autorisation de la direction de la communication, ou de la personne en charge de la communication de la socit, pour sexprimer au nom de cette dernire.

26

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

- Contrle - Droit daccs de ladministrateur lensemble des lments du systme dinformation afin de le contrler ou de le maintenir dans un souci de protection de ce dernier. - Dfinition des actes de contrle ou de maintenance du systme dinformation (liste exhaustive ou exclusions). - Possibilit pour lemployeur ou ladministrateur dexercer un contrle sur la nature des sites visits par le salari, la dure de connexion Internet, les tlchargements. Ce contrle doit tre justifi par un impratif de scurit et de confidentialit. - Droit pour lemployeur de conserver lhistorique de messagerie lectronique pendant une dure fixe dans la Charte. - Sanctions en cas de non-respect de la Charte (Tout ce que la Charte ninterdit pas reste autoris). Modalits dinformation du salari et procdure contradictoire en cas de sanction disciplinaire (information par crit des griefs retenus contre le salari, convocation crite un entretien, possibilit de se faire assister, droulement de lentretien, motivation de la sanction).

Litiges
Sous peine de voir la charte remise en question par les tribunaux, le contrle prvu par la Charte, doit tre loyal, transparent et proportionn : - Respect du principe de proportionnalit. Lors de la rdaction de la Charte, lemployeur doit respecter certains principes (le respect de la vie prive ou encore le principe de proportionnalit), dans le cas contraire, sa responsabilit pourrait tre engage. - Information du salari et des institutions reprsentatives du personnel.

Assistance
- Information : Rapport de la CNIL, La cybersurveillance sur les lieux de travail mis jour en fvrier 2004 (www.cnil.fr) et Vade-mecum du MEDEF, lutilisation des nouvelles technologies dans lentreprise , fvrier 2003. - Cots de spcialistes. 3 jours dexpert (interne ou externe) dont 3 demi-journes avec lensemble des salaris cls suffisent dfinir la charte et sensibiliser. 2 jours par an pour un diagnostic rapide et re-sensibiliser.

Affichage et formalits - entre en vigueur


Lorsque la Charte est porte en annexe du Rglement Intrieur, lemployeur devra respecter les obligations suivantes : - Mise en ligne de la Charte sur lIntranet de lentreprise, - Affichage de la Charte dans lentreprise conformment lArticle R. 122-12 du Code du travail, - Communication linspecteur du travail aprs avis du Comit dentreprise (ou dfaut des dlgus du personnel), - Dpt de la Charte au secrtariat au greffe du Conseil des prudhommes du sige social de la socit ou de ltablissement concern, - Fixation dune date dentre en vigueur, au plus tt un mois aprs laccomplissement des formalits de dpt auprs du secrtariat au greffe et daffichage.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

27

Fiche 5

Mettre en uvre un plan de sauvegarde


Quelque soit la qualit des moyens de dfense mis en uvre (physiques ou logiques), les donnes peuvent tre altres sciemment ou accidentellement. Les donnes et les applications informatiques doivent tre disponibles tout moment lorsquon en a besoin, et doivent tre conserves (sauvegardes) afin de pouvoir tre rcupres (restauration) le moment voulu. Il convient par consquent de : - Dfinir une politique de sauvegarde ; - Dfinir des procdures de sauvegarde ; - Dfinir des procdures de restauration ; - Maintenir ces politiques et procdures. Politique de sauvegarde
Il ny a pas de politique de sauvegarde universelle. Elle doit tre dfinie en fonction du volume de donnes, de la quantit dinformation que lon accepte de perdre, et ventuellement de la dure lgale de conservation de linformation. - Dfinir les primtres sauvegarder (services, matriels, sites, utilisateurs, ) - Dfinir le type de donnes sauvegardes (fichiers utilisateurs, fichiers serveurs, documents contractuels, emails, bases de donnes, ). Le contenu de la sauvegarde peut voluer dans le temps avec lajout de nouvelles applications ou de donnes. Cette contrainte doit tre prise en compte et il faut veiller la compltude des sauvegardes rgulirement. - Frquence/priodicit de la sauvegarde, priodicit de la rotation des sauvegardes - Principe de sauvegarde gnrique : - Le support de sauvegarde journalire du lundi au jeudi est doubl et utilis par alternance toutes les deux semaines. - La sauvegarde mensuelle est conserve un an jusquau mois identique de lanne suivante. - Principe de sauvegardes spcifiques : Des sauvegardes spcifiques peuvent tre ralises en parallle pour des donnes sensibles comme les donnes financires de lentreprise et conserves suivant les obligations lgales (sassurer que les applications ayant gnr ces donnes soient galement accessibles et que toutes les donnes soient bien identifies, comme par exemple des petits outils de pilotage financier dvelopps sous Excel en local, ou des fichiers sur les portables). - Dfinir le(s) lieu(x) et moyens de stockage des sauvegardes (lieux diffrents, armoires ignifuges, ). Ne pas laisser les supports prs de la machine. En cas de vol ou de sinistre, ces supports risquent en effet dtre galement vols ou dtriors. Il est ncessaire de conserver les supports mensuels et annuels en dehors du site de lentreprise. Conserver les supports hebdomadaires dans une localisation la plus loigne possible de leur source et dans une armoire ferme (ignifuge de prfrence).

Procdures de sauvegarde
Les diffrentes mthodes de sauvegarde
Sauvegarde complte
Cest une mthode de type annule et remplace . On crase le contenu de sauvegarde par la nouvelle information. Mthode trs sre mais longue si le volume est important (par ex : la sauvegarde de gros volumes peut tre suprieure la dure de la nuit et empcher le travail des utilisateurs le lendemain matin).

28

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Sauvegarde diffrentielle
Cest une mthode qui sauvegarde toutes les informations qui ont t modifies depuis la dernire sauvegarde complte.

Test des sauvegardes


La procdure doit prvoir, avant de passer en mode de fonctionnement continu, de tester la bonne rcupration des donnes afin de sassurer du bon fonctionnement des sauvegardes.

Sauvegarde mixte
Une sauvegarde journalire diffrentielle + une sauvegarde complte le vendredi + une sauvegarde mensuelle garde un an + chaque intervention technique (mise jour, ) sur un poste de travail ou un serveur, une sauvegarde complte (image de la machine) du poste ou du serveur ralis par le prestataire.

Vrification des sauvegardes


La procdure doit inclure le contrle rgulier dun journal des sauvegardes afin de vrifier quaucune anomalie nait perturb le bon fonctionnement des sauvegardes (support satur par exemple).

La mise en uvre et les cots


Mise en uvre par des ressources internes avec acquisition des outils
A titre dexemple, pour une sauvegarde par poste, 1 disque dur externe sur port USB mobile de poste en poste (environ 300 ) ou 1cl USB par poste (environ 100 /poste) ou pour un systme de sauvegarde en rseau de 20 postes, 2 serveurs (environ 5 000 ).

Sauvegarde incrmentale
Cest une mthode qui ne sauvegarde que les informations qui ont t modifies depuis la dernire sauvegarde enregistre sur le support.

Synchronisation dquipements
Cest une premire mthode mettre en place entre des quipements nomades et des postes fixes dun utilisateur donn. Elle peut inclure autant les donnes dagenda, de carnets dadresses que de simples fichiers (fonction porte document) et sactive souvent manuellement.

Sous-traitance un prestataire de service informatique pour assistance et mise en uvre


A titre dexemple, 2 jours dexpert (interne ou externe) avec la direction pour dfinir politique et procdures et 1/2 jour par an pour un audit du processus de sauvegarde.

Pour des postes de travail en rseau, il existe des outils simples et efficaces de duplication automatique
(fonction miroir ) vers un autre disque (serveur sur rseau par exemple) mais cette duplication ne garantit que les pertes dues des pannes matrielles et ne protge pas contre les risques de virus.

La sous-traitance un prestataire (la sauvegarde distance)


Cette solution offre lavantage de ne plus avoir grer le support physique des sauvegardes, ni la charge de travail associe car ils sont externaliss un prestataire via un rseau haut dbit. Il est ncessaire de bien dfinir la politique de sauvegarde et le contrat de prestation (sassurer de la bonne adquation de la prestation en cas de problme ; de la prsence dun cryptage adapt, les donnes se trouvant chez le prestataire ; de la sant financire de ce prestataire stratgique ; etc.).

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

29

Fiche 6

Mettre en uvre des moyens de dfense minimums


La mise en uvre de moyens de dfense minimums permet de : - bloquer les attaques automatises, - dviter de laisser des brches ouvertes, - de limiter la prolifration virale, - de dtecter les anomalies (les vnements pouvant affecter la scurit du systme dinformation). Pour tre exhaustifs, ces moyens seront complts par les mesures suggres dans les fiches 3 (mettre en uvre les moyens adapts la confidentialit des donnes), 5 (mettre en uvre un plan de sauvegarde) et 7 (mettre en uvre les moyens de dfense minimums pour les connexions sans fil). Bloquer les attaques automatises : les firewalls (pare-feu)
Rle
Le rle des pare-feu est de protger le rseau de lentreprise des intrusions extrieures. Ils filtrent la couche IP (Internet Protocol) qui sert transporter les donnes circulant sur lInternet, inspectent et/ou examinent chaque paquet IP afin de dtecter les flux illicites, et les bloquent avant quils natteignent le rseau de lentreprise (pare-feu primtriques et pare-feu applicatifs) ou du poste de travail (pare-feu personnel). Ils peuvent prendre une forme logicielle ou une forme de botiers appels appliances . tives). Attention au choix de ce type de pare-feu (white list, black list, ou les dernires gnration bases sur les principes de lintelligence artificielle) plus ou moins facile mettre en uvre et administrer. - Mise en uvre de services associs tels que translation dadresse, Proxy, passerelle antivirus, serveur DHCP (Dynamic Host Configuration Protocol), service VPN (sassurer que lautre extrmit du lien VPN est compatible avec la technologie VPN incluse dans le pare-feu slectionn), services IDS (Intrusion Detection System) ou IPS (Intrusion Prevention System). - Lis larchitecture des systmes - Caractristiques de la connexion Internet, - Dimensionnement du rseau local (nombre dutilisateurs). - Lis aux comptences internes. Quels sont les moyens dadministration disponibles ? Un pare-feu, quel quil soit, doit tre administr. Toutefois la technicit ncessaire pour installer et configurer avec soin un pare-feu logiciel open source par exemple sera bien suprieure celle requise pour brancher et configurer un botier pare-feu ADSL via une interface Web. Le choix de la technologie pare-feu devra donc prendre en compte les comptences dont dispose ou souhaite se doter lentreprise. Un parefeu na dintrt que sil est configur en accord avec la politique de scurit tablie. Si, par exemple, seuls les flux Web et e-mail sont autoriss depuis lInternet, lensemble des autres flux devra tre interdit. La configuration du pare-feu peut tre trs fine en attribuant des droits diff-

Critres de choix
La rflexion pralable au choix dune solution pare-feu ne seffectuera quaprs avoir tabli une politique de scurit minimum et portera sur les points suivants : - Lis au niveau de scurit requis. Les pare-feu se diffrencient essentiellement par la finesse du contrle quils autorisent et leur capacit traiter des flux levs et grer un nombre important dutilisateurs : - Simple contrle sur les services et sur les adresses IP autoriss pour les pare-feu simples, - Contrle sur la validit des protocoles et des flux applicatifs pour les pare-feu dit applicatifs (Plus de 75 % des attaques portent sur lexploitation des faiblesses applica-

30

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

rents selon les catgories dutilisateurs, elle peut galement mettre en uvre une politique variable suivant les plages horaires ou les jours douverture de lentreprise afin de limiter la consommation de bande passante durant les priodes de charge. - Le cot. Le plus souvent les pare-feu sont facturs en fonction du nombre dutilisateurs, des flux et des services associs.

Exemples doutils de mise jour


- Un service de mise jour automatique, Windows Update, est intgr Windows 2000 et Windows XP. Il permet aux consommateurs et aux petites entreprises dinstaller automatiquement les mises jour ds quelles sont disponibles. - MBSA est un outil gratuit dinventaire des mises jour manquantes pour les machines Windows - www.microsoft.com/france/technet/themes/secur/info mbsa.html - Software Update Services (SUS) peut tre tlcharg gratuitement sur le site Web de Microsoft. Ce service est conu pour simplifier le processus de mise jour des systmes Windows. SUS permet aux administrateurs de dployer rapidement et en toute scurit les mises jour importantes sur leurs serveurs Windows 2000, ou Windows XP Professionnel. - www.microsoft.com/france/securite/outils/sus.asp - Les autres plateformes offrent des possibilits similaires (Linux, Unix, Mac)

Limiter les brches ouvertes : se protger des vulnrabilits


Les logiciels, comme toute ralisation humaine, contiennent des erreurs, appeles vulnrabilits, dont certaines menacent la scurit. Ces vulnrabilits peuvent tre exploites manuellement ou par des programmes dvelopps spcifiquement qui le plus souvent permettent leur utilisateur de contrler des ordinateurs sans lgitimit.

Comment se protger
Mettre en uvre un processus de gestion des mises jour de scurit de tous les logiciels prsents dans lentreprise afin de pouvoir liminer les vulnrabilits connues et bnficier au passage des dernires amliorations en matire de scurit. Les derniers systmes dexploitation et les dernires applications intgrent des fonctionnalits de mise jour automatique, dont il faut sassurer quelles sont actives. Les administrateurs du systme dinformation suivront classiquement la dmarche suivante : - Audit automatis des configurations installes, et/ou dfaut veille permanente minimum sur les vulnrabilits des systmes dexploitation et applications installes (ww.cert.org), - Test des nouvelles mises jour, - Dploiement des correctifs de scurit en commenant par colmater les failles les plus critiques sur les machines les plus sensibles, - Application des correctifs, grce des outils spcialiss, en prenant soin de grer la non rgression des systmes.

Exemples doutils de test de vulnrabilits


Les outils de test peuvent tre utiliss des fins daudit pralable et/ou pour tester les mises jour effectues. - Outils gratuits. Nessus est un outil gratuit de recherche de vulnrabilits (www.nessus.org). Linstallation et la mise en uvre sont rserves des utilisateurs confirms. - Outils payants. Ces outils existent pour tous les types de plateformes. Ils peuvent tre installs dans lentreprise ou tre actionns distance, un rapport complet tant alors transmis de faon totalement scurise lentreprise. Ils peuvent tre, dans un premier temps, tests distance gratuitement puis par abonnement. Il est vivement recommand de procder au moins un test gratuit pour tablir un tat des lieux rapide du niveau de vulnrabilit des systmes (offres multiples disponibles).

Limiter la prolifration virale : les antivirus


La prolifration des virus (des vers, des spams et autres chevaux de Troie) impose ladoption de logiciels antivirus pour viter une contamination rapide des systmes. Comment choisir ? La bonne question nest pas tant la marque que leur positionnement et leur nombre.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

31

Trois solutions
Un antivirus dispos sur la passerelle daccs Internet
Le principe est de raliser un filtrage applicatif sur lensemble des flux en clair (cest--dire communications non chiffres) qui transitent par la passerelle Internet. En particulier cet antivirus analysera les flux Web la recherche de logiciels malveillants. Ceci peut savrer intressant dans le cas dutilisation de service de courrier Web. En pratique, il est admis que ce niveau de filtrage est aujourdhui lui seul une garantie insuffisante pour se prmunir de lensemble des codes malveillants.

Dtecter les anomalies


Identifier une activit anormale
Il faut au pralable : - dfinir ce que doit tre une activit normale, cest--dire les types de flux autoriss ainsi que les configurations associes. Cette action peut tre mene par lutilisation doutils automatiss (voir fiche 1). - dtecter les flux contraires aux rgles ou les modifications de configuration indues. Sans ces deux dmarches, les intrus pourront dune part sintroduire sur le systme sans risque dtre dtects, et dautre part, et cest plus grave encore, se maintenir sur le systme demeure avec un accs de plus en plus large lensemble des ressources informatiques.

Un antivirus dispos sur le serveur de messagerie


Le point nvralgique de la communication dentreprise est le serveur de messagerie dentreprise. Le choix de traiter la lutte antivirale ce niveau prsente donc de nombreux avantages : relative simplicit de mise en uvre, efficacit maximale sur les infections par e-mail, ressources matrielles associes gnralement limites. Linconvnient majeur est que lensemble des flux nest pas trait par lusage exclusif de cet antivirus.

Surveiller les traces des systmes sensibles


Les quipements de scurit mais aussi lensemble des serveurs du rseau dentreprise gnrent des traces (logs) permettant de retracer une partie de lactivit du systme. La surveillance de ces traces, rbarbative, est souvent nglige. Elle est pourtant essentielle pour dtecter les incidents de scurit en labsence de dispositifs spcifiques de dtection ou de prvention dintrusion. Il faudra donc mettre en place une procdure simple de consultation de certaines traces sur les machines sensibles ou exposes, en saidant par exemple doutils ddis facilitant ce travail.

Un antivirus quipant les postes personnels


La ncessit de disposer dun antivirus jour sur chaque poste de travail de lentreprise simpose : dune part les protections antivirales rseau ne sont pas infaillibles (les fichiers chiffrs par exemple ne pourront jamais tre analyss), dautre part les usages personnels des ordinateurs sont par dfinition incontrlables (insertion de CD, utilisation dune connexion domicile, ). En pratique, ce dploiement indispensable peut impliquer une remise niveau du rseau et du parc informatique : - le systme doit permettre la mise en place de lantivirus mais aussi la mise jour rgulire des bases de signatures, sans laquelle lefficacit de la dtection est compromise ; - les systmes dexploitation doivent tre suffisamment homognes pour autoriser un dploiement uniforme de lantivirus. Lusage est de combiner plusieurs de ces solutions, en essayant autant que possible de choisir deux fournisseurs distincts pour favoriser les chances de dtection de nouvelles souches. La solution minimum est probablement le dploiement de lantivirus personnel, mais il sera raisonnable et confortable dajouter rapidement un dispositif antivirus sur le serveur de messagerie.

Dtecter les modifications de configuration


Trs souvent une agression sur un systme dinformation se caractrise par la modification de paramtres de configuration ou de fichiers systme sans autorisation. Ces oprations indues peuvent tre dtectes facilement par le contrle rgulier et automatis de lintgrit de fichiers spcifis. Le logiciel open source Tripwire permet par exemple de raliser ce type de contrle. Il sera essentiel de limiter lusage du contrle dintgrit un nombre rduit de fichiers sensibles pour conserver lefficacit du dispositif.

Dtecter les intrusions


De nombreuses sondes de dtection dintrusion ou de prvention dintrusion sont proposes, parfois incluses dans des quipements de rseaux du type pare-feu. Elles peuvent constituer un complment efficace aux dispositifs prsents prcdemment, toutefois la mise en uvre et lexploitation parfois dlicates de ces outils incitent un usage modr.

32

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Fiche 7

Mettre en uvre des moyens de dfense minimums pour les connexions sans fil
Cette fiche est complte par la fiche n 6 sur les moyens de dfense minimums dans le cas des connexions fixes. Quappelle-t-on rseau sans fil ?
Cest un moyen de connecter un terminal un rseau (dentreprise, Internet) sans utiliser de cblage physique. Ces technologies sont galement utilises pour faire communiquer localement plusieurs terminaux entre eux sans avoir crer de rseau permanent. Cette fiche envisage ltude des deux technologies les plus rpandues en entreprise aujourdhui : le Bluetooth pour les rseaux sans fil personnels et le Wi-FI pour les rseaux sans fil dentreprise.

Les vulnrabilits des rseaux sans fil


Les rseaux sans fil du type Wi-Fi ou Bluetooth offrent de multiples avantages : simplicit et cot modique dinstallation, facilit dusage, mobilit tendue. En contrepartie, ils sont par nature plus vulnrables aux attaques informatiques que les rseaux filaires.

On classe les technologies sans fil selon leurs usages


Les rseaux sans fil personnels
Ils permettent une connectivit entre appareils lectroniques proches les uns des autres. Cet usage est aujourdhui domin par la technologie Bluetooth (porte typique de plusieurs mtres) ;

Les principales vulnrabilits de ces rseaux sont les suivantes :


Les intrusions sur les rseaux ou les quipements connects
Par dfinition, le cur du rseau est accessible de lextrieur par les quipements sans fil (ordinateurs quips dune interface radio, PDA ou tlphones portables dans le cas du Bluetooth). Il est extrmement difficile de garantir que seules les personnes autorises y auront accs. Ainsi une borne daccs Wi-Fi porte en environnement dgag plus de 100 mtres, ce qui la rend le plus souvent atteignable bien au-del du strict primtre physique de lentreprise. La scurit reposera donc fondamentalement sur la qualit du contrle daccs logique mis en place.

Les rseaux sans fil dentreprise


Ils se substituent aux rseaux cbls dentreprise classiques. La technologie la plus rpandue est aujourdhui le Wi-Fi (porte typique de quelques dizaines de mtres), utilise soit intra-entreprise soit pour couvrir les zones daffaires ( Hot-Spots ).

Les rseaux sans fil mtropolitains


Ils permettent une couverture large (plusieurs dizaines de kilomtres) et sont utiliss le plus souvent pour proposer une connectivit Internet en complment du cble ou de lADSL. Plusieurs technologies coexistent, parmi lesquelles le WiMAX , soutenue par Intel qui lintgrera dans sa future gnration de microprocesseurs.

Linterception des donnes changes par voie hertzienne


Puisque les donnes sont transmises par voie radio, elles peuvent tre coutes par lensemble des personnes prsentes dans la zone dmission, ce qui peut permettre de capter des informations prcieuses, mais surtout donner des renseignements utiles pour mettre en uvre une attaque plus dangereuse : une intrusion sur le systme dinformation par exemple.

Les rseaux sans fil nationaux


Dploys par les oprateurs de tlphonie mobile, et dont les gnrations successives permettent de plus en plus de dbit : GSM, GPRS, EDGE, UMTS. Ces deux dernires technologies, en cours de dploiement, amneront des dbits compatibles avec de vritables changes de donnes dentreprise.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

33

Les protocoles sans fils intgrent maintenant quasi systmatiquement des moyens de chiffrement des communications permettant de se prmunir de ce type dattaques. Toutefois ce jour cette vulnrabilit est accentue par le fait que certaines technologies sans fil contiennent des failles de scurit et que la fonction de chiffrement nest pas toujours active.

Scurit des rseaux sans fil personnels (Bluetooth)


Bluetooth est une technologie de souplesse . La scurit du protocole Bluetooth est dans sa version actuelle insuffisante pour garantir une rsistance aux attaques volues. On vitera donc dutiliser cette technologie pour connecter des quipements supportant ou donnant accs des informations dune importance stratgique pour lentreprise. Par extension, il est fondamental de ne pas utiliser cette technologie pour des quipements du type PDA communiquant relis eux-mmes des rseaux sensibles. Dune faon gnrale, pour se prmunir des intrusions et du vol de donnes sur les rseaux personnels utilisant Bluetooth, il convient de configurer correctement les quipements : - en inhibant le mode dcouverte et appariement ; - en activant la reconnaissance dquipements rpertoris (par liste dappareils amis autoriss) ; - en activant le chiffrement des donnes ; - en activant le mode invisible. De plus, pour les quipements nomades (tlphone mobile ou PDA) intgrant une interface Bluetooth, les fonctions de liaison sans fil doivent tre dsactives par dfaut pour tre ractives lors dun usage ponctuel. Ceci permet en particulier de se prmunir de certaines contaminations virales du type ver bluetooth .

Les perturbations de services


Le but de ces attaques dites en deni de service est de perturber durant un certain temps le bon fonctionnement du systme. Il peut sagir de rendre la borne daccs un rseau sans fil indisponible ou plus grave de paralyser le rseau. La plus simple et la plus efficace des attaques consiste simplement brouiller au niveau physique le spectre utilis pour parasiter les communications. La source est cependant aisment identifiable, et peut tre neutralise. Une menace plus importante rside en une sollicitation indue de lquipement sans fil des demandes de connexion multiples par exemple qui peut saturer les entres et ainsi interdire tout accs aux utilisateurs lgitimes, mais aussi engendrer dautres dysfonctionnements sur les rseaux connects. La parade rsidera dans larchitecture de scurit mise en place derrire les points daccs Wi-Fi, et la bonne configuration des quipements. Si la disponibilit des services est la principale exigence de scurit, le choix du sans fil nest sans doute pas le plus judicieux.

Scurit des rseaux sans fils dentreprise (Wi-Fi)


La scurit dun rseau local sans fil de type Wi-Fi est plus complexe et peut tre ralise diffrents niveaux. Elle intgre lensemble des prconisations de scurit valables pour un rseau filaire (c.f. fiche 6) plus un ensemble de prconisations spcifiques au sans fil. Compte tenu de la difficult pour restreindre laccs un rseau sans fil, il est indispensable dassocier son dploiement une procdure spcifique de scurit. Au-del de la formation et de la sensibilisation des utilisateurs cette tape comprend a minima : - la configuration des couches liaison et transport ; - la gestion des accs ; - les mises jour logicielles ; - laudit priodique et la surveillance active de son rseau.

La mise en uvre de la scurisation du sans fil


Les quipements sans fil tant accessibles le plus souvent au-del du primtre physique scuris de lentreprise, il est indispensable de les scuriser ds leur installation. De fait, la mise en uvre dun rseau Wi-Fi ncessite un niveau scurit minimal, sans quoi lentreprise sera une cible facile et privilgie des pirates informatiques ou de la concurrence. Les principes gnraux sont dcrits cidessous pour deux environnements spcifiques : Bluetooth et Wi-Fi.

34

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Tableau rcapitulatif de la dmarche minimum de scurisation d'un rseau Wi-fi


Scuriser les points daccs, les clients Wi-Fi et le compte administrateur et utiliser une liste daccs dappareils autoriss. Sassurer que les mcanismes de scurit intgrs et normaliss sont bien activs (authentification, chiffrement WPA (Wi-Fi Protected Access) ou WPA2, liste dquipements autoriss). La conservation de la configuration par dfaut des quipements Wi-Fi est aujourdhui la principale cause de compromission ; elle est donc bannir. Mettre jour le logiciel des quipements Wi-Fi (nouvelles versions logicielles qui corrigent les failles de scurit). tendre (et complter) les services de scurit dj dploys sur le rseau filaire (exemple par VPN, firewall). Mettre en uvre les outils et rgles dauthentification et les politiques de scurit. Diffrencier les utilisateurs Wi-Fi une fois quils sont connects. Informer et former les utilisateurs. Pour les appareils en mobilit, les fonctions de liaison sans fil Wi-Fi doivent tre dsactives par dfaut et ractives pour un usage ponctuel. Auditer le rseau : Un audit physique (sassurer que le rseau sans fil ne diffuse pas dinformations dans des zones non dsires et quil nexiste pas de rseau sans fil non dsir dans le primtre scuriser) et un audit informatique (sassurer que le degr de scurit obtenu est bien gal celui dsir). Surveiller le rseau : surveillance au niveau IP avec un systme de dtection dintrusions classique et surveillance au niveau physique (sans fil) avec des outils ddis.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

35

Fiche 8

tablir une barrire de scurit entre les donnes externes et internes


Deux usages
Lentreprise a ouvert une partie de son systme dinformation vers lextrieur, via un site web ou par changes de donnes informatiques. Par nature et destination, un site web rend trs visible lentreprise depuis lextrieur. Le serveur web est connect aux systmes internes aprs filtrage par le pare-feu. Les pirates disposent doutils sophistiqus ou trs simples pour tester les moyens de dfense (scan) et la faiblesse de vos applications web. Plus de 75 % des attaques utilisent ces faiblesses. Lorsque lchange de donnes parfois confidentielles avec les personnes lextrieur de lentreprise (clients, partenaires, fournisseurs, employs nomades) transite sur Internet, le contenu peut, sauf prcautions, tre lu par des tiers non autoriss. Ces deux usages ncessitent un surcrot de prcautions, en plus des moyens de protection minimums dcrits dans les fiches 3 (mettre en uvre des moyens appropris la confidentialit des donnes) et 6 (mettre en uvre des moyens de protection minimums). quipements filtrants (firewalls, outils de dtection et de filtrage de contenu), seront redirigs dans la DMZ ( quarantaine ) pour analyse.

Architecture
Les serveurs installs sur la DMZ permettent de fournir des services au rseau externe, tout en protgeant le rseau interne contre des intrusions possibles sur ces serveurs : - Les serveurs Web (http), serveurs de fichiers (ftp), serveurs de-mails (SMTP) et serveurs de noms (DNS) : services offerts par lentreprise au monde Internet ? - Les serveurs relais permettant dassurer une communication indirecte entre le rseau local et le monde Internet (proxies, relais SMTP, antivirus, ). Mise en uvre. La DMZ est gnralement cre par lemploi dun pare-feu, compos de trois interfaces rseau (Internet, rseau interne, DMZ).

Trois solutions
Pas de DMZ Les serveurs sont placs entre le routeur et le pare-feu. Chaque serveur doit tre parfaitement scuris ; tous les services et ports inutiles doivent tre ferms ; la mise jour des trous de scurit dtects sur les logiciels et systmes dexploitation doit tre trs frquente. DMZ pour flux entrants uniquement Pour une protection du systme dinformation des services, aucun flux ne doit aller dInternet au rseau interne sans passer par la DMZ. Les serveurs sont sur la DMZ. Ils sont protgs par le pare feu et lexploitation se rvle moins lourde. Les flux dans le sens Internet vers le rseau interne passent par la DMZ. Les flux dans le sens rseau interne vers Internet ne passent pas par la DMZ. Cette configuration est trs rpandue, et concilie linvestissement et un bon niveau de scurit. En employant un relais de messagerie ou un service antivirus de messagerie, ce dernier sur la DMZ permet au serveur de messagerie dtre dans le rseau local. Les mails des utilisateurs stocks sur le serveur sont protgs. DMZ pour flux entrants et sortants Les serveurs sont sur la DMZ. Ils sont protgs par le parefeu. Des serveurs relais (mail ou antivirus mail, Proxy FTP, HTTP, ) sont placs sur la DMZ, et permettent aux flux du

Trois moyens de protection supplmentaires


La mise en uvre dun site Web, parce quil met lentreprise particulirement en vidence, peut ncessiter la mise en place dune DMZ et dans tous les cas le test des applications Web avant dploiement. - Dfinir une DMZ (Demilitarized Zone, zone dmilitarise) et la protger. Ce terme vient du vocabulaire militaire pour dsigner une zone tampon entre deux ennemis. La DMZ est un sous rseau qui se positionne entre un rseau interne de confiance et lInternet public.

Objectif
Les lments suspects (les flux transitant vers le rseau interne et depuis le rseau interne), dcouverts par les

36

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

rseau interne vers Internet de passer par la DMZ. Les flux dans le sens Internet vers le rseau interne passent par la DMZ. Cette configuration est trs scurise.

Rseau Priv Virtuel (VPN pour Virtual Private Network)


- Objectif. Cest un tunnel priv de communications chiffr entre lentreprise et les entits ou personnes dnommes avec qui elle change des donnes (cot rduit mais qualit de service lie laccs Internet). - Fournir un accs distant aprs authentification aux nomades/tltravailleurs. Selon les solutions, un logiciel spcifique est dployer sur les postes nomades, ou bien le cryptage est ralis par les couches standard Windows. - Interconnecter plusieurs sites entre eux, tout en offrant une ouverture scurise SSL) vers lInternet.

Mutualisation
La mise en place dune telle solution peut tre assure par le fournisseur d'accs Internet, qui se charge de mettre en place et de grer sur son infrastructure le pare-feu et les services relais. Ces services sont mutualiss ce qui permet de rduire linvestissement et les contraintes dexploitation de lentreprise. Ce type doffre convient pour les besoins standards dutilisation et de protection dInternet (proxies mail et web, filtrage antivirus et anti-spam par exemple). - Tester les applications web exposes - Les applications Web sont des applications visibles depuis lextrieur (elles sont conues pour communiquer). Le site Web est une application Web. Les applications Web ne sont pas exemptes de faiblesses lies leur conception et ralisation. Ces applications peuvent tre dautant plus dangereuses quelles peuvent tre connectes vos applications critiques (rcupration de donnes venant de formulaires par exemple). - Les hackers disposent dun arsenal impressionnant pour les exploiter. Les scenarii dattaques sont mme disponibles sur Internet lusage des apprentis hackers. Ces scripts se renouvellent sans cesse et deviennent de plus en plus sophistiqus. En exploitant les faiblesses des applications et les systmes dexploitation sur lesquels elles reposent, ces scripts permettent soit de rendre le site indisponible pour plusieurs heures plusieurs jours (DOS), ou de prendre le contrle des systmes en sarrogeant les droits dadministrateur (TOS). - Tester les applications Web est donc indispensable avant tout dploiement (y compris les mises jour). Les socits spcialises daudit ( pentest pour penetration testing) disposent doutils spcifiques. Leur mise en uvre exhaustive peut prendre de 2 3 journes dpendant de la complexit et de la nature du site (site dinformation avec ou sans formulaires ou site de commerce en ligne). Un test rapide ne prendrait que quelques heures pour mettre en vidence les faiblesses les plus rpandues. Ces tests permettent, en outre de valider la configuration et la pertinence du pare-feu applicatif retenu. - Mise en uvre de liaisons scurises Lchange de donnes confidentielles implique la mise en uvre de liaisons scurises, virtuelles (VPN) ou physiques (lignes loues spcialises).

Trois types de solutions


- Intgre comme service du pare-feu ; - Systmes autonomes placs devant le pare-feu ; - Systmes autonomes placs derrire le pare-feu (solutions logicielles). Pour une PME, la seule solution viable consiste mettre en uvre une solution avec service de chiffrement intgr. Les protocoles IPsec et SSL/TLS sont utiliss pour assurer la confidentialit et lauthentification mutuelle des changes (voir fiche 3). Le chiffrement des donnes peut savrer difficile concilier avec certains trafics multimdia temps rel (par exemple, Voix sur IP, visioconfrence).

Lignes loues
Lchange de donnes entre deux sites distants appartenant la mme entreprise (bureaux-usine par exemple) peut aussi tre effectu en louant un oprateur une liaison spcialise ou ddie. Cette solution permet de saffranchir de toutes les incertitudes lies lutilisation dInternet, mais reprsente un cot non ngligeable de lordre de 2K/mois.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

37

Fiche 9

Grer et maintenir la politique de scurit


Les risques lis au changement
Les systmes dinformation voluent priodiquement. Les changements, souhaits ou subis, peuvent avoir des consquences sur le niveau minimum de scurit dfini lors de la mise en uvre de la politique de scurit : Valider rgulirement la configuration de vos pare-feu - Pour tre efficaces, vos pare-feu ont t configurs au moment de leur mise en place en ligne avec vos politiques de scurit (voir fiche 1). - Pour rester efficaces, leur configuration doit tre teste priodiquement et les alertes gnres contrles et corrles. - Pour mieux matriser ces changements et affiner la configuration de vos firewalls, vous devez connatre les flux applicatifs. Cette connaissance vous permettra en outre de savoir ce que les utilisateurs font des moyens de communication que vous mettez leur disposition. Valider les mises jour correctives rgulirement et tester priodiquement les vulnrabilits de tous les composants logiciels de votre systme dinformation. Veiller lactivation permanente de vos antivirus (et ventuellement anti-spam, anti-spyware). Les antivirus peuvent tre dsactivs par mgarde ou volontairement, en particulier lorsquils sont dploys sur chaque poste de travail.

Changement de responsabilit des collaborateurs


Leur niveau daccs aux donnes et applications critiques doit tre gr en permanence.

Embauches
Le niveau daccs aux donnes et applications critiques des nouveaux collaborateurs doit tre dfini (voir Charte).

Dparts
Supprimer connexions et mots de passe des collaborateurs quittant lentreprise.

volutions
Tester les nouvelles applications, nouveaux postes de travail, nouveaux rseaux, nouvelle version du site web,

Gestion des procdures de sauvegarde


Le contenu de la sauvegarde peut voluer avec le temps avec lajout de nouvelles applications ou de donnes. Cette contrainte doit tre prise en compte et il faut veiller la compltude des sauvegardes rgulirement.

Renouvellement des menaces


Le systme dinformation doit faire face des menaces externes sans cesse renouveles (nouveaux virus ou vers, nouvelles vulnrabilits). Une politique de scurit nest valable dans le temps que si elle est value rgulirement contre les nouvelles menaces et les changements dorganisation ou de primtre de lentreprise.

Moyens
La maintenance (des pare-feu, VPN, antivirus, mises jour correctives, moyens dauthentification, sauvegarde, gestion des flux applicatifs) peut tre ralise : - Par les ressources propres de lentreprise et/ou avec sous-traitance une socit de service qui dlguera du personnel qualifi sur votre site (voir contrats fiche 10). - Par un prestataire de services ou un Oprateur (appel MSSP Managed Security Service Provider) qui gre la scurit distance partir dun centre mutualis (SOC Security Operation Centre) : - Gestion du trafic en temps rel 24/24 et 7/7 ; - Gestion des incidents en temps rel et conseils dintervention ; - Mise jour permanente des lments de protection et des mises jour correctives ; - Gestion des logs (archives des anomalies) ; - Reconnaissance et enregistrement des attaques ; - Rapports journaliers et assistance sur leur interprtation la demande ; - Garantie de service et procdures de support ; - Corrlation et interprtation des alertes ; - Plan de continuit incluant les procdures de sauvegarde.

Maintenance minimum
Mise jour priodique de la Charte dUtilisation
Lentreprise se dote de nouveaux moyens de communication, dploie de nouvelles applications, les droits et devoirs des collaborateurs voluent et doivent impliquer une mise jour de la Charte.

Gestion des niveaux daccs


Vous avez choisi un moyen dauthentification (voir fiche 4). Il vous faudra imprativement en assurer un bon suivi. Cette tche est relativement complexe ; elle dpend des moyens utiliss, des effectifs et du nombre de sites de lentreprise. Les outils dadministration permettent dassurer la prennit des moyens dploys.

Gestion des moyens de protection minimums


Certains moyens de protection sont aujourdhui incontournables pour une scurit minimum. Il ne suffit pas de les installer ou de les configurer une fois pour toutes, encore faut-t-il veiller ce quils soient activs et mis jour en permanence.

38

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

Fiche 10

Externaliser la mise en uvre et la maintenance de la politique de scurit


La plupart des entreprises font appel aujourdhui des prestataires pour leur besoin dvolution et de maintenance de leur systme dinformation. Il en va de mme pour la scurit, partie intgrante du systme dinformation.
Peu dentreprises disposent des ressources internes pour remplir ces tches relativement complexes. La mutualisation permet de rduire les cots et de sassurer du maintien permanent dun niveau acceptable de scurit.

Externalisation
Lexternalisation de fonction consiste confier un partenaire spcialis une fonction essentielle la vie de lentreprise, mais extrieure son cur de mtier.

Principes

Installation et configuration
Par un (des) prestataire(s) de services agissant comme un sous-traitant sur votre site. Ce prestataire installera et configurera les moyens de protection en conformit avec les politiques de scurit. Un autre prestataire pourrait contrler si cet ensemble de tches a t men dans les rgles de lart (comme dans dautres domaines avec le recours des organismes de certification et de contrle).

Lexternalisation des systmes dinformation ou de leur gestion prend aujourdhui des formes trs diverses. Il est difficile de sy retrouver dans lunivers prolixe de lexternalisation, entre infogrance et tierce maintenance applicative, entre ASP (Application Service Provider) et BSP (Business Service Provider), MSS (Managed Security Services). Beaucoup dentreprises ont recours lexternalisation de la paie voire de la comptabilit. Dans ce cas, lentreprise transmet les donnes brutes au fournisseur de service et reoit en contrepartie les documents de synthse (dclarations sociales, fiscales, bilans et compte dexploitation). Dans le domaine de la scurit, il existe un service quivalent pour la maintenance totale ou partielle des politiques de scurit en permettant laccs distance aux systmes en toute scurit une socit spcialise, dnomme Managed Security Services Provider (MSSP). Ce prestataire peut tre votre fournisseur daccs (Fournisseur dAccs Internet [FAI] ou Oprateur de tlcommunication) ou une filiale spcialise de socit de service informatique.

Maintenance sur site


Par un (des) prestataire(s) de services agissant comme un sous-traitant qui se rendra priodiquement sur site pour contrler que ces moyens de dfense rpondent aux besoins. Il est aussi envisageable de faire appel ponctuellement au prestataire en cas de modification des politiques de scurit ( la suite de conditions imposes par exemple par une client ou un fournisseur, voire par une lgislation nouvelle). Un autre prestataire pourrait contrler si cet ensemble de tches a t men dans les rgles de lart (il peut sagir simplement dun contrle trs lger, pouvant dailleurs tre ralis distance pour un cot assez faible).

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

39

Accs ce type de services


Lexternalisation de la maintenance des politiques de scurit semble tre une solution particulirement adapte pour les PME/PMI, qui ne disposent gnralement pas des moyens de veille ncessaires avec des ressources financires et humaines par nature trs contraintes. Lexternalisation peut porter sur lensemble de la maintenance des politiques de scurit (voir fiche 9) mais il semblerait opportun de voir apparatre sur le march une offre spcifique pour les PME/PMI qui porterait au moins sur les moyens de dfense minimums (voir fiche 6). Cette offre adresserait : - la configuration des pare-feu, - la gestion des mises jour des versions correctives (ou veille au minimum), - la dtection des vulnrabilits - le contrle des mises jour de signatures pour les antivirus. Une telle offre mutualise pour PME/PMI devrait pouvoir tre offerte un cot acceptable, sous forme dun abonnement annuel de lordre de quelques centaines deuros pour les plus petites entreprises. Ces diffrentes briques prises individuellement font dores et dj partie du catalogue des offres de FAI ou dOprateurs. Une offre globale et accessible financirement, portant sur la gestion des moyens minimums, serait souhaitable.

Les 10 points
Afin de limiter le nombre de litiges, il conviendra de sassurer que les documents contractuels (conditions gnrales et/ou particulires, proposition technique et financire, devis, ) traitent clairement des 10 points suivants :

40

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

cl dun contrat dexternalisation


Document contractuel
Le contrat mentionne-t-il la liste de lensemble des documents quil comprend (annexe, cahier des charges, proposition du prestataire) et les hirarchise t-il ? Il est ncessaire de dterminer les documents qui engagent lentreprise et le prestataire et, en cas de conflit entre ces documents, celui qui prvaudra.

Pnalits
Est-il prvu des pnalits en cas de non ou de mauvaise excution du contrat, en terme de dlai et/ou de non-respect de certaines performances (cf. obligation) ? Elles sont normalement plafonnes (gnralement hauteur de 15 % du montant du contrat). Le contrat doit prvoir larticulation des pnalits avec les dommages et intrts que lentreprise doit pouvoir rclamer par ailleurs. Les pnalits visent indemniser de manire forfaitaire lentreprise du fait du retard ou de la non performance. Elles ont en mme temps un effet dissuasif pour le prestataire.

Limitation du prjudice rparable


Le contrat prvoit-il une limitation du montant de la rparation laquelle lentreprise pourra prtendre en cas de dommage, tous chefs de prjudice confondus ? Attention : un plafonnement drastique du montant des dommages et intrts que pourra rclamer lentreprise aboutit quasiment neutraliser la responsabilit du prestataire en cas dinexcution de sa part du contrat.

Description des prestations


Les prestations sont-elles prcisment dcrites ? Cela permet lentreprise de connatre prcisment les prestations auxquelles sengage le prestataire.

Cession des droits


Dans le cas o le contrat comporte, la charge du prestataire, la ralisation ou le dveloppement de tout ou partie dun logiciel, prvoit-il la cession (autant quelle est ncessaire lentreprise) de ces crations ? Attention, en labsence dune clause de cession conforme lexigence du Code de la proprit intellectuelle, le prestataire reste titulaire des droits dauteur sur celles-ci. Permet lentreprise de sassurer, autant que de besoin, de la proprit des logiciels quelle aura command.

Statut des matriels et logiciels


Le contrat devra prciser la proprit et le statut des matriels et des logiciels utiliss par le prestataire dans le cadre de lexcution du contrat. Seront-ils fournis par lentreprise ou par le prestataire ? Dans le dernier cas, restent-ils ou pas la proprit de ce dernier ? Seront-ils placs dans lentreprise ou chez le prestataire ? Lentreprise devra t-elle souscrire ou pas une licence ? Ce point aura un impact sur la responsabilit de lentreprise concernant ces matriels et logiciels. Si lentreprise en est propritaire ou sils sont placs dans ses locaux, elle devra les faire couvrir par ses polices dassurance.

Rgime de lobligation du prestataire


Le contrat prcise-t-il si le prestataire, ou telle ou telle de ses prestations, est soumis une obligation de moyens ou une obligation de rsultats ? Lobligation de rsultats portera sur le respect de dlais fermes, et/ou dindicateurs de performance (mesurables). Ces dlais et indicateurs devront tre stipuls au contrat. Attention en cas dobligation de moyens, lentreprise supporte normalement la charge de la preuve de la dfaillance du prestataire. Lorsquil est possible, le rgime de lobligation de rsultats offre plus de scurit lentreprise quant la bonne excution des prestations.

Juridiction comptente
Le contrat dsigne t-il la juridiction comptente en cas de litige, notamment au plan gographique ? Nest-elle pas trop loigne du sige de lentreprise ? En cas de litige, il est plus facile de plaider prs de chez soi que dans la ville, parfois loigne, du sige du prestataire.

tendue de la responsabilit
Le contrat contient-il une clause limitant la responsabilit du prestataire certains types de prjudice ou en excluant certains autres ? Le prestataire nest en principe pas tenu dindemniser lentreprise de ses prjudices indirects (notamment de ses pertes dexploitation), sauf tre expressment prvu au contrat. Lexclusion, par contrat, de certains prjudices directs ou indirects pr qualifis peut rduire voire supprimer lindemnisation laquelle lentreprise pourra prtendre.

Prix des prestations


Est-il prvu que le prix puisse voluer (hausse ou baisse) ? Notamment, si le prestataire baisse ses tarifs, sengage-t-il a en faire bnficier lentreprise en cours de contrat ? Sagissant de prestations qui sinscrivent dans un environnement technologique et un march qui voluent vite, il faut que lentreprise ait lassurance que son contrat colle au march , ce dautant plus que la dure du contrat sera longue (> 1 an).

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

41

Glossaire

5/A

Les termes techniques


5_4_3 5_4_3 Rgle 5-4-3. Elle est utilise quand on parle de rpteurs. On peut connecter 5 segments rseaux laide de 4 rpteurs mais seuls 3 des segments peuvent comporter des ordinateurs ou clients. 802.11i 802.11i Norme de scurit sur les liaisons wi-fi. Cette norme tend vers lutilisation de TKIP pour aboutir la standardisation de lalgorithme AES. 802.1x 802.1x Norme dfinie par lIEEE concernant lauthentification dquipements et de postes sur un rseau. A5 A5 Algorithme secret utilis en Europe pour le chiffrement dans les tlphones portables. AAL AAL ATM Adaptation Layer Couche dadaptation entre les donnes transmettre dans le rseau et la couche ATM, par segmentation. Il existe plusieurs types dAAL : AAL1 pour des flux voix ou vido en temps rel et dbit constant, AAL2 pour des flux voix ou vido compresses en temps rel et dbit variable, AAL3 ou AAL4 pour des transferts de fichiers, AAL5 pour linterconnexion de rseaux locaux. ABR ABR Available Bit Rate Dbit disponible. Classe de service dfinie par lATM Forum utilisant la bande passante disponible et garantissant une qualit de service ; applications : trafic LAN sur TCP/IP (ATM). Acceptation du risque Risk acceptance Dcision daccepter un risque trait selon les critres de risque. ACID ACID Logiciel de chiffrement dvelopp par la DGA pour scuriser tout type de fichiers et rpertoires, par un cryptage fort. - dvelopp destination de la Dfense ou des Administrations. ACK ACK Acknowledgement Accus de rception. Il confirme que les donnes envoyes ont bien ts reus par le destinataire. ACL ACL Access Control List Liste de noms dutilisateurs, de noms de machines ou dautres entits qui sont, ou ne sont pas, autoriss accder certaines ressources. Ensemble de slections dadresse IP source, adresse IP destination, protocole, port source, et port destination, afin de slectionner des trafics particuliers : exemple access-list sur Cisco. Ad-Hoc Ad-Hoc Mode de communication point point entre stations wifi permettant de se connecter sans passer par un point daccs. Adresse IP IP address Adresse Internet Protocol. Adresse unique (code sur 4 octets en IPv4 et 16 en IPv6) permettant didentifier un ordinateur sur lInternet, ou un quipement informatique utilisant le protocole TCP/IP (exemple : 192.156.112.123). Indispensable aux changes dinformations entre les diffrentes machines, ladresse IP peut tre fixe, cest--dire attribue pour une dure indtermine un mme ordinateur, ou bien dynamique, cest--dire attribue chaque nouvelle connexion (cas de la majorit des fournisseurs daccs grand public). Enregistre dans les fichiers log des serveurs visits, ladresse IP permet gnralement de remonter jusqu lidentit physique de linternaute par le biais de son fournisseur daccs, dans le cadre dune procdure judiciaire. Adresse MAC MAC address Numro unique qui identifie une carte rseau. Cest une adresse de 6 octets de long. les 3 premiers octets dfinissent le constructeur. Les 3 derniers sont le numro de srie. On lappelle aussi adresse physique, adresse ethernet ou adresse matrielle. ADSL ADSL Asymetrical Digital Subscriber Line Technologie de transmission numrique offrant jusqu 6 Mb/s sur la paire de cuivre arrivant chez labonn. Le dbit descendant vers labonn est plus important que le dbit montant vers le rseau, do la terminologie asymtrique. Advertising Advertising Dfinit lenvoi dinformations rgulier sur ltat du rseau entre les routeurs. Agent Database agent collector Ordinateur qui collecte des informations techniques sur le rseau partir dune base de donnes (MIB en environnement SNMP). AES AES Advanced Encryption Scheme Algorithme de chiffrement symtrique de donnes. Agrment Agreement Reconnaissance formelle que le produit ou systme valu peut protger des informations jusqu un niveau spcifi dans les conditions demploi dfinies.

Terme technique English Signification de lacronyme Description

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

43

Agrment dun laboratoire Laboratory agreement Reconnaissance formelle quun laboratoire possde la comptence pour effectuer des valuations dun produit ou dun systme par rapport des critres dvaluation dfinis. Algorithme cryptographique Encryption algorithm Procd ou fonction mathmatique utilise pour le chiffrement et le dchiffrement. Dans la cryptographie moderne, lalgorithme est souvent public et le secret du chiffre dpend dun paramtre appel clef prive. Analyse de trafic Traffic analysis Observation des caractristiques extrieures du trafic transitant sur un rseau afin de tenter den tirer des informations : frquence des transmissions, identits des tiers communicants, quantits de donnes transfres. Associes des informations de nature diffrente (date de rendez-vous, actualit) ces lments peuvent permettre aux adversaires de faire des dductions intressantes. Analyse du risque Risk analysis Utilisation systmatique de donnes pour lidentification des origines des attaques et lestimation du risque. ANT ANT ADSL Network Termination Terminaison de rseau ADSL. Boitier assurant linterface entre le client de loprateur tlcom et le central tlphonique. Anti-Spam Anti-Spam Dune manire gnrale, il ne faut jamais donner suite un spam. Il faut au contraire prendre lhabitude de supprimer le courrier non sollicit ds sa rception et sans cliquer sur aucun de ses liens. A titre dexemples de spam : - la fausse rponse, envoye avec comme titre Re : [phrase accrocheuse] . Elle tente de se faire passer pour une rponse un message qui na bien sr jamais t envoy ; - le faux message gar, faisant croire un message mal adress. Cordial voire familier, lexpditeur vante les mrites dun service ou dun produit pour lequel il fournit le lien ; - le faux message de confirmation dabonnement une newsletter. Gnralement trs bref, il fait en ralit la promotion dun site dont il indique ladresse ; - ladresse surprise, de la forme http://%59%38%36%33.%74%6b qui pique la curiosit et que le spam propose de visiter ; - le message envoy avec de vritables adresses emails en copie, ou avec comme adresse dexpditeur votre propre adresse email afin de passer la barrire psychologique de lexpditeur inconnu et les filtres anti-spams ; - le message au format HTML dont le contenu est une image, afin dviter toute prsence de texte analysable par les logiciels anti-spam. Il faut rester mfiant vis vis de ce genre de message dont le but est dorienter vers un site dont la page est pige par un virus ou par lexploitation dune faille du navigateur. Enfin, les victimes de spamming pourront filtrer le courrier reu avec les fonctionnalits antispam ventuellement disponibles du logiciel de messagerie : dans Outlook cest longlet Outils puis Assistant Gestion

des messages qui permet de dfinir une rgle de filtrage pour que les messages comportant une expression donne (par exemple .kr pour les victimes de spams corens) soient redirigs vers un rpertoire poubelle. Ne pas hsiter les dnoncer ladresse abuse@serveur denvoi . Antispyware Antispyware Utilitaire capable de rechercher et dliminer les espiogiciels. Il sagit le plus souvent dun scanner la demande utilisant une analyse par signatures pour identifier les espiogiciels connus et les dsinstaller. Un antispyware est utile pour sassurer quaucun espiogiciel nest prsent sur un ordinateur, ou pour liminer un espiogiciel rcalcitrant lorsque lutilisateur ne souhaite plus utiliser le logiciel associ. Par contre, lutilisation de certains antispywares qui permettent de bloquer ou de neutraliser un spyware tout en continuant utiliser son logiciel associ est assimilable du piratage, les contrats de licence faisant gnralement du spyware une contrepartie obligatoire lutilisation gratuite du logiciel associ. Antivirus Antivirus Utilitaire capable de rechercher et dliminer les virus informatiques et autres malwares. La dtection se fait selon deux principes : une analyse par signatures qui permet de dtecter avec dexcellents rsultats les virus connus pour peu que les dfinitions de virus soient rgulirement mises jour, ou une analyse heuristique qui permet de dtecter avec des rsultats variables les virus inconnus partir de leur logique de programmation et le cas chant de leur comportement lexcution. Les antivirus fonctionnent eux-mme selon deux principes : un scanner qui permet lutilisateur de lancer une analyse dun disque ou dun fichier lorsquil le souhaite ( on demand ), ou un moniteur qui surveille le systme en temps rel ( on access ) et empche lutilisateur douvrir un fichier infect. La plupart des antivirus comportent un scanner et un moniteur, mais il existe des produits analysant seulement la demande (ex. : antivirus en ligne) voire ne disposant que dun moniteur (ex. : antivirus gnriques). API API Application Program Interface Collection de fonctions, dobjets de programmation permettant de dployer des applications en masquant des fonctionnalits sous-jacentes accessibles dans un systme dexploitation. Appl@too Appl@too Plate-forme sur laquelle reposent les services de scurit Cert@too. Applet Java applet En franais Appliquette. Appliquette Java applet Petit programme, souvent accompagn de donnes plus volumineuses que lui, et conu pour tre tlcharg via un rseau chaque fois quon veut lutiliser, en particulier par un navigateur, qui se chargera de lexcuter. Terme surtout utilis dans la communaut Java.

Terme technique English Signification de lacronyme Description

44

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

A/A
Apprciation du risque Risk assessment Ensemble du processus danalyse du risque et dvaluation du risque. Architecture Architecture La notion darchitecture a plusieurs sens dpendant du contexte (daprs la traduction de la dfinition IEEE STD 610.12) 1- structure des composants, leurs interrelations, et les principes et rgles rgissant leur conception et leur volution dans le temps ; 2- structure organisationnelle dun systme. ARP ARP Address Resolution Protocol Protocole de recherche dadresses, liant une adresse logique IP avec une adresse physique MAC ; contenu dans IP (couche rseau). ARP poison Arppoisoning Larp poison est une attaque par dni de service dont le but est de duper des postes sur le mme rseau ethernet en falsifiant des adresses ARP (MAC) pour des adresses IP donnes : on fournit loutil dattaque une adresse IP source (un des postes cible de lattaque) ainsi que son adresse MAC, on fournit ensuite ladresse IP dun autre poste cible de lattaque et une adresse MAC falsifie (nimporte laquelle), le 1er poste cibl par lattaque mettra jour sa table ARP avec une fausse adresse MAC et ne pourra plus communiquer avec lautre poste. ASIC ASIC Application Specific Integrated Circuit Circuit Intgr ( puce ) stockant la table de filtrage dadresses MAC sur les commutateurs. Association de scurit Security association (SA) Connexion simplexe (unidirectionnelle) cre pour scuriser des changes. Tout le trafic qui traverse une SA se voit appliquer les mmes services de scurit. Une SA correspond donc un ensemble de paramtres, qui caractrisent les services fournis au travers de mcanismes de scurit comme AH et ESP. ASP ASP Application Service Provider Fournisseur de services applicatifs dlivrs travers le rseau. Assurance Insurance Proprit dune cible dvaluation permettant de sassurer que ses fonctions de scurit respectent la politique de scurit de lvaluation. Asynchrone Asynchronous Caractristique dune liaison dans laquelle lmetteur et le rcepteur ne sont pas synchroniss au pralable. Chaque mot ou caractre possde sa propre synchronisation, le plus souvent laide de bits de start et de bits de stop . ATM ATM Asynchronous Transfer Mode Technique de transfert de linformation sous forme de paquets de petite taille constante par multiplexage asynchrone avec rpartition temporelle, cherchant ainsi lier les avantages de la commutation de paquets et de la commutation de circuits. Cellule ATM : lment fondamental du trafic ATM. Sa taille fixe (53 octets) assure la vitesse de transmission des messages et permet au rseau, grce au mcanisme SAR (Segmentation and reassambly), de grer simultanment plusieurs types de trafic ou une commutation de paquets classique). Attaque Attack Exploitation dune ou plusieurs vulnrabilits laide dune mthode dattaque avec une opportunit donne. On distingue divers types dattaque : - les attaques cryptologiques qui exploitent les failles, mais demandent une bonne connaissance du systme (ou la compromission des personnes concernes) ; - les attaques tempest qui analysent les signaux parasites mis par un matriel lectronique ; - les attaques par pigeage dquipements qui utilisent la rmission des signaux vers des quipements dcoute, le brouillage ou la saturation des tlcommunications ; - les attaques informatiques qui mettent en uvre le contournement des contrles effectus par un logiciel ou un mcanisme quelconque ainsi que lusurpation didentit offrant des privilges accrus ; - les attaques par virus, vers, chevaux de troie, bombes logiques qui correspondent toutes des contaminations par programmes ; - les attaques de rseau qui utilisent les faiblesses connues dun systme pour attaquer un systme diffrent connect au premier par un rseau ; - les attaques sur les systmes de conception qui visent limplantation de fonctions caches ; - les attaques physiques qui relvent du banditisme et se traduisent par le vol de supports dinformations avec menaces de divulgation ou de destruction des informations. Attaque active Active attack Attaque informatique qui consiste altrer des informations stockes, en cours de traitement ou transitant sur un rseau, ce qui en compromet lintgrit. Les perturbations du service dont les manifestations les plus graves peuvent tre la saturation dun rseau, linsertion de messages parasites, la destruction volontaire ou laltration dinformations, la rinsertion, le dtournement de sessions en cours ou de programmes tlchargs, constituent des exemples dattaques actives. Attaque analytique Analitical attack Analyse cryptographique qui consiste tudier lalgorithme de chiffrement afin den trouver les failles et den dduire la cl de chiffrement utilise pour produire un cryptogramme. (Voir aussi Brute-force attack). Attaque logique Logic attack Utilisation non autorise des ressources dun systme dinformation.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

45

Attaque passive Passive attack Attaque informatique qui consiste soit enregistrer, gnralement grce lcoute lectronique, les informations transitant sur un rseau ou en cours de traitement, soit copier des informations stockes, ce qui compromet la confidentialit des unes et des autres. Lindiscrtion, lanalyse de trafic, la copie de fichiers ou de programmes sont les trois manifestations les plus caractristiques dune attaque passive. Attestation de reconnaissance de responsabilit Established responsability recognition Attestation ayant pour objet de faire prendre conscience au titulaire dune dcision dadmission ou dagrment des responsabilits particulires qui viennent sajouter ses responsabilits administratives du fait de lautorisation daccs aux informations classifies. Attributs de scurit Security attributes Informations (telles que lidentit, le niveau dhabilitation, le besoin den connatre, etc.) relatives un utilisateur autoris, permettant dtablir ses droits et privilges. Audit Audit Examen mthodique dune situation relative un produit, un processus, une organisation, ralis en coopration avec les intresss en vue de vrifier la conformit de cette situation aux dispositions prtablies, et ladquation de ces dernires lobjectif recherch. Auditabilit Auditability Garantie de la matrise complte et permanente sur le systme, et en particulier de pouvoir retracer tous les vnements au cours dune certaine priode. Audit Listened Personne physique ou groupe de personnes ayant en charge le systme soumis audit. Il assure les deux fonctions suivantes : - responsable du systme, - responsable de la scurit du systme. Il est linterlocuteur privilgi de lauditeur. Auditeur Listener Intervenant (personne seule ou groupe dindividus) responsable de la mission daudit. AUI AUI Attachment Unit Interface quipement de rattachement au support rseau local ; nom donn au cble reliant un coupleur Ethernet au transceiver. Authenticit Authenticity Fait de ne pas permettre, par la voie de modifications autorises, une perte du caractre complet et juste de linformation. Consiste assurer la fois lintgrit et lauthentification de lorigine des donnes.

Authentification Authentication Vrification visant renforcer selon le besoin, le niveau de confiance entre lidentifiant et la personne associe (exemples : le mot de passe est un authentifiant faible, la carte puce est un authentifiant fort) On distingue deux types dauthentification : 1- lauthentification dun tiers : cest laction qui consiste prouver son identit. Ce service est gnralement rendu par lutilisation dun change dauthentification qui implique un certain dialogue entre les tiers communicants. 2- Lauthentification de lorigine des donnes : elle sert prouver que les donnes reues ont bien t mises par lmetteur dclar. Dans ce cas, lauthentification dsigne souvent la combinaison de deux services : authentification et intgrit en mode non connect. Ces deux services nont en effet pas de sens sparment et sont souvent fournis conjointement. Autorit de certification Certification authority Dans une ICP, tierce partie de confiance charge dassurer la gnration, la signature et la publication des certificats, et leur rvocation. Backdoor Backdoor Moyen non document permettant dobtenir des droits privilgis dans une application ou un ordinateur. Dans le cas dune application, la backdoor est souvent un bout de code ajout par les dveloppeurs pour contourner toute procdure de scurit et faciliter ainsi les tests ou le dpannage : prsente dans la version finale du programme, elle permet qui en a connaissance dexcuter lapplication sans autorisation voire de sintroduire dans le systme. Dans le cas dun ordinateur, la backdoor est un petit programme install automatiquement par un virus ou manuellement par une personne malveillante : linsu des utilisateurs, elle permet de prendre le contrle distance du systme, ou lors dune intrusion de revenir ultrieurement sans avoir en forcer nouveau la scurit. Les antivirus pouvant assez facilement tre pris en dfaut par les backdoors, le meilleur moyen pour sen prmunir reste de ne pas excuter les logiciels ou fichiers joints douteux et dinstaller un pare-feu afin de surveiller les entres/sorties. Backpressure Backpressure Schma de rsolution de blocage qui consiste repousser les cellules vers les mmoires tampon qui sont places lentre du systme. Banyan Banyan Structure de commutation spatiale dfinissant un schma dinterconnexion avec une seule voie daccs entre les entres et les sorties. Cette topologie est en gnral ralise partir dlments de commutation 2 x 2 et sa complexit est fonction de N log N (N, nombre dentres et de sorties). BAS BAS Broadband Access Server Concentrateur daccs haut dbit qui collecte le trafic en provenance des DSLAM des clients ADSL pour linjecter dans le rseau IP de lOprateur.

Terme technique English Signification de lacronyme Description

46

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

A/C
Beacon Beacon Type de trame envoy priodiquement sur par un point daccs ou carte 802.11 permettant de dcouvrir des quipements wi-fi et de donner lautorisation de parler une station sur le mdia. Besoin de scurit Need to security Dfinition prcise et non ambigu des niveaux correspondant aux critres de scurit (disponibilit, confidentialit, intgrit) quil convient dassurer un lment essentiel. BGP BGP Border Gateway Protocol Protocole de routage externe et de dialogue routeur-routeur. Bi-cl Key pair Couple cl publique, cl prive (utilises dans des algorithmes de cryptographie asymtriques). Bien Property Toute ressource qui a de la valeur pour lorganisme et qui est ncessaire la ralisation de ses objectifs. On distingue notamment les lments essentiels et les entits quil convient de protger. Blowfish Blowfish Algorithme de chiffrement invent et conu par Bruce Schneier comme remplaant du DES. Il supporte des clefs dune taille allant jusqu 448 bits. Soumis aucun brevet, il a t intgr bon nombre de logiciels. Bluetooth Bluetooth Technique de transmission sans-fil sur de courtes distances (environ 10 mtres). Son but est du supprimer les fils entre le poste de travail et ses priphriques. Normalisation IEEE802.15. Bombe logique Logic bomb Antiprogramme dclenchement diffr, qui ne se reproduit pas, activ soit une date dtermine par son concepteur, soit lorsquune condition particulire se trouve vrifie, ou un ensemble de conditions runies, et qui, ds lors, produit laction malveillante pour laquelle il a t conu. BOOTP BOOTP Bootstrap Protocol Protocole permettant un hte de rcuprer son adresse IP. Brasseur Digital crossconnect Commutateur ATM grant uniquement les numros de conduits VP. Broadcast Broadcast Diffusion gnrale dinformation destination de toutes les stations de rception. Browser Browser Logiciel de navigation, fouineur dinformations disponibles sur les documents accessibles sur Internet. Brute-force attack Brute-force attack Analyse cryptographique qui consiste essayer systmatiquement toutes les cls de chiffrement possibles ayant pu tre utilises pour produire un cryptogramme. BS7799-1 BS7799-1 Norme BS7799 Dsigne un guide, dvelopp en Grande-Bretagne par le British Standards Institution (BSI), des meilleures pratiques scuritaires appliques aux systmes dinformation, applicables toute entreprise, indpendamment des technologies employes. Publi en fvrier 1995 avec le soutien de son gouvernement et amlior de manire significative en mai 1999, la norme BS7799 aimerait devenir la rfrence pour le dveloppement dune certification scurit en Europe. ISO 17799. BS7799-2 BS7799-2 Norme BS7799 Ce deuxime volet de la norme BS7799 constitue le rfrentiel ncessaire pour une certification de la scurit des systmes dinformation. Il nexiste pas, pour le moment, dquivalent disponible auprs de lISO mais des travaux sont en cours. Buffers Buffers Mmoires tampon utilises pour stocker les cellules faisant simultanment appel une mme ressource. Leur position (internally buffered, externally buffered) influe sur larchitecture globale du commutateur et sur le type de mcanisme darbitrage. Bump-in-the-stack Bump-in-thestack Une implmentation est dite de type bump-inthe-stack si elle sintercale entre deux couches de la pile de protocole (par exemple, entre PPP et le modem). La logique ainsi insre est perue par la couche de rang n comme tant celle de rang n-1 et rciproquement. CA CA Certifying Authority Organisation ou personne de rfrence pour la cration et la gestion de certificats. On parle aussi de tiers de confiance . CAPI CAPI Cryptographic API Gnrique de services cryptographique de Microsoft. Les services cryptographiques disponibles dans les programmes Windows (authentification, chiffrement, etc.) sont fournis au moyen de diffrentes techniques : cartes puce, priphriques USB, logiciels, etc. Pour ajouter une nouvelle technique, on installe sur lordinateur un module rpondant la spcification CAPI. Lorsque Windows aura besoin daccder une technique cryptographique prcise, il passera par le limplmentation de CAPI correspondante.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

47

CBR CBR Constant Bit Rate A dbit constant. Classe de Service ATM offrant un dbit constant garanti, permettant de transporter des flux (tels que la vido ou la voix) ncessitant un contrle strict de synchronisation et de hautes performances en qualit de service. Sutilise aussi dans le monde des mdias pour qualifier un encodage numrique audio ou vido dbit constant par opposition variable (VBR). CC CC Critres Communs (Voir Critres Communs). CDMA CDMA Code Division Multiple Access Mode daccs aux rseaux sans fil, utilisant une mme bande de frquences pour des centaines dappels simultans. CE CE Customer Edge router Routeur dextrmit install sur le site du client par le fournisseur daccs. Cellule Cell Unit de donne de protocole mise en forme dans le format ATM (cellules de 53 octets : 5 pour len-tte, 48 pour les donnes). Len-tte comporte notamment un VCI et un VPI. Certificat Digital certificate Objet informatique qui associe une entit sa cl publique ou des attributs. Le lien est cr par la signature de lensemble des donnes du certificat par la cl prive de lautorit qui met le certificat. Document lectronique qui renferme la clef publique dune entit, ainsi quun certain nombre dinformations la concernant, comme son identit. Ce document est sign par une autorit de certification ayant vrifi les informations quil contient. Certification Certification Outil de confiance qui conciste en une procdure par laquelle une tierce partie donne lassurance crite quun processus, une personne, un produit, un service, une organisation est conforme des exigences pralablement tablies. CHAP CHAP Challenge Handshake Authentification Protocol Protocole dchange de donnes chiffres didentification/authentification standardis par lIETF. Mthode dauthentification sur un rseau PPP utilisant un systme de dfi-rponse. Chapeau blanc White hat Dsigne un individu qui cherche pntrer des systmes dinformation par le biais dinternet, sans intention relle de nuire. On peut lassimiler un fouineur .

Chapeau noir Black hat Dsigne un individu qui cherche pntrer des systmes dinformation par le biais dinternet, avec des objectifs clairs de piratage. (Voir aussi Cracker). Chat Chat Service qui permet dtablir des discussions interactives entre des groupes dusagers (Internet). Cheval de Troie Trojan Programme apparemment inoffensif mais qui facilite une attaque ultrieure par un virus. Antiprogramme qui, introduit dans une squence dinstructions normales, prend lapparence dun programme valide contenant en ralit une fonction illicite cache, grce laquelle les mcanismes de scurit du systme informatique sont contourns, ce qui permet la pntration par effraction dans des fichiers pour les consulter, les modifier ou les dtruire. Chiffrement Encryption Transformation cryptographique dun ensemble de donnes (clair) en vue de produire un ensemble chiffr (dit cryptogramme). Le chiffrement est un mcanisme de scurit permettant dassurer la confidentialit des donnes. Chiffrement de bout en bout End to end encryption Chiffrement de donnes lintrieur ou au niveau du systme extrmit source, le dchiffrement correspondant ne se produisant qu lintrieur, ou au niveau du systme extrmit de destination. Cible dtude Target Systme dinformation ou partie de celui-ci qui est soumis ltude de scurit EBIOS. Cible de scurit Security target Spcification de scurit dun produit ou dun systme qui contient la description des fonctions ddies la scurit, les objectifs de scurit, les menaces qui psent sur ces objectifs ainsi que les mcanismes particuliers qui sont employs. Cible dvaluation TOE Target of Evaluation Systme dinformation ou produit qui est soumis une valuation de la scurit. Le commanditaire qui souhaite faire valuer son produit, doit prciser sa cible dvaluation : les menaces qui peuvent peser sur son produit dans les conditions demploi quil prcisera, ainsi que les fonctions de scurit quil mettra en uvre dans son produit. CIDR CIDR Classless Inter-Domain Routing Mthode dadressage IP permettant de librer des adresses IP, ce qui en rend autant de disponibles, en attendant la mise en place dIPv6.

Terme technique English Signification de lacronyme Description

48

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

C/C
CIR CIR Commited Information Rate Dbit minimum de transfert dinformation que le rseau du Fournisseur sengage assurer dans des conditions normales pour chaque CVP. Circuit Line Canal de communication bidirectionnel entre deux entits dun rseau. Circuit virtuel Virtual circuit En commutation par paquets, voie de communication logique (X25 ou FR par exemple). Classe Object class En programmation par objets, ensemble dobjets ayant les mmes proprits. Classe de dbit Data rate class Dbit maximum du trafic agrg que lquipement ATM du Client pourra mettre sur laccs ATM du rseau du fournisseur. Cl Key lment dun codage, sur lequel repose le secret, permettant de chiffrer et de dchiffrer un message. On distingue deux types de cls : 1- les clefs secrtes, utilises par les algorithmes symtriques, pour lesquels les cls de chiffrement et de dchiffrement sont gales. 2- bi-cls (couple cl publique, cl prive), utilises par les algorithmes asymtriques, pour lesquels cl de chiffrement et cl de dchiffrement sont distinctes. Cl de base Database key Cl utilise pour chiffrer/dchiffrer les cls de trafic transmises sur le rseau ou mmorises dans les moyens de cryptophonie. Cl de chiffrement Encryption key Srie de symboles commandant les oprations de chiffrement et dchiffrement. Cl de chiffrement de cls Encryption master key Cl utilise exclusivement pour chiffrer dautres cls, afin de les faire parvenir un interlocuteur. Une cl de chiffrement de cl a gnralement une dure de vie assez longue, par opposition aux cls quelle sert chiffrer. Cl de session Session key Cl cryptographique utilise seulement pour une dure limite. Gnralement, une cl de session est transporte dans le rseau, chiffre par une autre cl, et provient par drivation ou diffrentiation dune cl principale. Clef matresse Master key Cl servant gnrer dautres cls. Cl prive Private key Dans une infrastructure cl publique, cl qui nest connue que de son propritaire et dun tiers de confiance. Elle est associe une cl publique pour former un bi-cl. Ce dernier doit remettre cette cl aux autorits judiciaires ou de la dfense nationale en cas de demande. Cl publique Public-key Cl communique publiquement. Son intgrit et son authenticit peuvent tre assures par un processus de certification. Cl secrte Secret-key Cl volontairement non publie ncessaire la mise en uvre dun moyen ou dune prestation de cryptologie pour des oprations de chiffrement ou de dchiffrement. Dans un systme cls secrtes (ou symtriques), les cls de chiffrement et de dchiffrement sont identiques. Client Customer Systme (programme ou ordinateur) accdant des ressources loignes, en se branchant via un rseau sur un serveur. Un client lger se contente de grer laffichage des informations. CLIR CLIR Caller Line Identity Restriction Restriction didentification de la ligne appelante . Grce au CLIR, lutilisateur qui le dsire peut interdire laffichage de son numro de tlphone sur lcran (fixe ou mobile) de la personne appele. CLIP CLIP Calling Line Identification Presentation Prsentation du numro qui permet lappel de voir sur lcran de son tlphone (mobile ou fixe), le numro des personnes qui lappellent. CLP CLP Cell Loss Priority Champ du 4e octet de len-tte de la cellule ATM qui indique la priorit de la cellule dans les mcanismes darbitrage. CMIP/CMIS CMIP/CMIS Common Management Information Protocol/Services Protocoles ISO pour ladministration de rseaux. CMOT CMOT Common Management Open Transport Protocole de liaison entre CMIP/CMIS et TCP/IP. CAM CAM Code dAuthentification de Message Rsultat dune fonction de hachage sens unique cl secrte. Lempreinte dpend la fois des donnes et de la cl ; elle nest donc calculable que par les personnes connaissant la cl. Adjointe aux donnes sur lesquelles elle a t calcule, elle permet de vrifier leur authenticit (authentification + intgrit).

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

49

Communication relative au risque Interprocess risk communication change ou partage dinformations concernant le risque entre le dcideur et dautres parties prenantes. Commutation ATM ATM communication Schma dinterconnexion voie unique, avec un degr dinterconnexion fonction de N2 (N, nombre dentres et de sorties). Condensat(ion) Data compression ou Hash Fonction de compression de donnes sens unique, utilise dans les mcanismes de signature lectronique. Confidentialit Privacy protection Proprit dune information ou dune ressource de ntre accessible quaux utilisateurs autoriss (cration, diffusion, sauvegarde, archivage, destruction). Le mcanisme qui permet dobtenir ce service est gnralement le chiffrement des donnes concernes laide dun algorithme cryptographique. On parle aussi de confidentialit du trafic lorsquon dsire empcher lanalyse du trafic en cachant les adresses source et destination, la taille des paquets, la frquence des changes Confidentiel Dfense CD Mention rserve aux informations qui ne prsentent pas en elles-mmes un caractre secret mais dont la connaissance, la runion ou lexploitation peuvent conduire la divulgation dun secret intressant la Dfense nationale et la sret de ltat. [dcret du 12/05/81 relatif lorganisation de la protection des secrets et des informations concernant la Dfense Nationale et la sret de ltat]. Congestion Congestion tat dans lequel le rseau ne peut plus assurer tout ou partie de ses engagements de service (QoS, dbit) vis vis de ses clients. Connection Connexion Relation logique tablie entre deux entits. Chaque couche rseau fournit aux couches suprieures un certain nombre de services dont certains sont dits sans connexion et dautres orients connexion. Dans un service sans connexion, chaque message est considr comme totalement indpendant des autres et peut tre envoy tout moment, sans procdure pralable et sans que le destinataire final soit ncessairement prsent ce moment. Cest le cas par exemple de IP, qui noffre quun service de type remise de datagrammes. Dans un service orient connexion, linitiateur de la communication doit dabord tablir un lien logique avec lentit avec laquelle il dsire communiquer. Cette procdure est appele ouverture de la connexion et implique gnralement de se mettre daccord sur un certain nombre doptions.
Terme technique English Signification de lacronyme Description

Contrle daccs Accesscontrol Capacit dautoriser un utilisateur accder une information ou une ressource partir de ses droits et des contrles appropris exercs sur ses droits (en particulier, identification/authentification). Ce service a pour but dempcher lutilisation dune ressource (rseau, machine, donnes) sans autorisation approprie. Cookie Cookie Donnes inscrites par un serveur sur lordinateur du client. Elles permettent ce serveur de se configurer en fonction du client qui lappelle, de mmoriser des informations spcifiques la session ou de conserver des informations permanentes. COPS COPS Computer Oracle and Password System Logiciel permettant de tester les failles de scurit (notamment les mots de passe) dune machine Unix. CORBA CORBA Common Object Request Broker Architecture Standard de gestion dobjets distribus, dfini par lOMG (Object Management Group), association de professionnels de linformatique oriente objet. Correctif Patch Les diteurs de logiciels cherchent souvent amliorer leurs produits pour les doter par exemple de nouvelles fonctionnalits. Le nom dun logiciel ne change pas pour autant mais il est suivi dun numro incrmentiel qui identifie la version du produit parmi celles dj distribues ou en cours de dveloppement (ex. : Internet Explorer 6.0 est une version plus rcente du navigateur Internet Explorer 5.5). Pour connatre le numro de version dun logiciel, il suffit gnralement de regarder dans son menu Aide ou ? , puis de choisir A propos de ou Version : il se prsente sous la forme X.XX ou X.XX.xxxxxx. Il est indispensable de connatre le numro de version de ses principaux logiciels afin de savoir sils sont concerns lors de lannonce dune faille, ou bien pour appliquer une mise jour ou un correctif de scurit correspondant la bonne version du programme. Lorsque plusieurs versions dune mme application sont disponibles, il est gnralement recommand de ne pas opter pour la toute dernire si celle-ci est trs rcente, du fait dun nombre de bogues potentiellement plus importants, ni pour les plus anciennes, pour lesquelles il nest gnralement plus publi de correctif, voire dont les failles ne sont plus mme plus annonces. CoS CoS Classes of Service Classes de service. Permettent dassurer un traitement diffrenci des datagrammes IP transports sur le rseau, en fonction des exigences de qualit de service de lapplication. Laffectation des classes de service aux datagrammes IP issus des applications est assure par le routeur install et gr par le Fournisseur sur le site du Client. COSINE COSINE Corporation for Open Systems Interconnexion Networking in Europe Projet europen (Eurka) visant une infrastructure de communication avance lchelle de lEurope.

Connect On-line mode Mode connect : un chemin virtuel est rserv pendant tout le temps de la connexion.

50

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

C/C
Couche Layer Concept de base du modle OSI. CPL CPL Courants Porteurs en Ligne Technologie de transmission par courants porteurs en ligne, permettant de vhiculer des donnes numriques et vocales sur les cbles lectriques en utilisant les infrastructures existantes. Cracking Cracking (Voir Craquer). Craquer Crack, to Pntrer illicitement dans un rseau en forant les contrles daccs, par ex. les mots de passe ; ~ dplomber ; angl. : to crack. CRC CRC Cyclic Redundancy Check Algorithme implment dans certains protocoles afin de vrifier la validit des trames ou paquets reus. Critres Communs Common criteria Intitul utilis historiquement pour la norme la place de lintitul officiel de lISO : Critres dvaluation de la scurit des technologies de linformation . Le but de ces critres est de rpondre au besoin dharmonisation au niveau mondial de critres dvaluation des fonctions de scurit de produits et de systmes. Les CC comprennent 3 parties : - partie 1 : Introduction et modle gnral - partie 2 : xigences fonctionnelles de scurit - partie 3 : xigences dassurance de scurit. Critres de risque Risk criteria Termes de rfrence permettant dapprcier limportance des risques. Critre de scurit Security criterion Caractristique dun lment essentiel permettant dapprcier ses diffrents besoins de scurit. CRL CRL Certificate Revocation List Liste de certificats rvoqus, cest--dire invalids avant leur terme. CRM CRM Customer Relation Management Gestion informatise de la relation client. Cryptage Encryption Terme driv de langlais to encrypt et souvent employ incorrectement la place de chiffrement. Cest laction consistant obtenir un texte chiffr partir dun texte en clair sans connatre la cl. Un exemple concret pourrait tre de signer un texte choisi en reproduisant un chiffrement avec la cl prive de la victime. Mais on prfre parler dans ce cas de contrefaon. Cryptanalyse Cryptanalysis Analyse dun systme cryptographique, et/ou de ses entres et sorties, pour en dduire des variables confidentielles et/ou des donnes sensibles. [ISO 7498-2] Cryptogramme Cryptogram Transform dun message par une opration de chiffrement. Cryptographie Cryptography Science permettant dassurer la scurit des systmes de traitement de linformation. Discip line incluant les principes, moyens et mthodes de transformation des donnes, dans le but de cacher leur contenu, dempcher que leur modification passe inaperue et/ou dempcher leur utilisation non autorise. [ISO 7498-2] Cryptographie asymtrique Asymmetric cryptography Systme de cryptographie cl publique. Chaque intervent possde une cl secrte S et une cl publique P. La cl P, drive de S par une fonction sens unique, est publie. Cryptographie symtrique Symmetric cryptography Systme de cryptographie cl prive (ou secrte), reposant sur le partage de cette cl entre tous les intervents. Cryptologie Cryptology tude scientifique de la cryptographie et de la cryptanalyse. Cryptopriode Cryptoperiod Priode de temps pendant laquelle les cls dun systme restent inchanges. C-SET C-SET Chip - Electronic Secure Transaction Extension franaise de la norme SET dveloppe par le GIE Cartes Bancaires en vue de standardise le paiement en ligne en France. CSMA/CA CSMA/CA Carrier Sense with Multiple Access/Collision Avoidance Mthode daccs qui coute si la ligne nest pas utilise avant un envoi de signal. Si elle est utilise, la station attend puis remet. Les collisions sont vites avant lenvoi de donnes selon un algorithme de calcul. Utilis dans les rseaux sans-fils. CSMA/CD CSMA/CD Carrier Sense with Multiple Access/Collision Detection Mthode daccs qui coute si la ligne nest pas utilise avant un envoi de signal. Si elle est utilise, la station attend puis remet. Elle dtecte la collision (lenvoi de deux signaux simultans provenant de deux stations diffrentes). Cette mthode daccs est utilis sur Ethernet.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

51

CVC CVC Circuit Virtuel Commut Circuit virtuel tabli travers le rseau du Fournisseur par une communication commute. CVP CVP Circuit Virtuel Permanent Circuit virtuel tabli en permanence entre deux Matriels travers le rseau du Fournisseur. Cyberwoozle Cyberwoozle (Syphonnage des donnes) Dispositif visant rcuprer des informations sur une entreprise en se servant des paramtres fournis par les navigateurs internet. Datagramme Datagram Bloc dinformation (donnes, adresses source et destination) transmis en vrac , ncessitant un dispositif de rassemblage larrive. Ce sont donc des paquets totalement indpendants les uns des autres et circulant en mode non connect. Par exemple, les paquets IP ou UDP sont des datagrammes. Chaque paquet de type datagramme transite travers le rseau avec lensemble des informations ncessaires son acheminement, et notamment les adresses de lexpditeur et du destinataire. Le routage tant effectu sparment pour chaque datagramme, deux datagrammes successifs peuvent donc suivre des chemins diffrents et tre reus par le destinataire dans un ordre diffrent de celui dmission. En cas de problme dans le rseau, des datagrammes peuvent tre perdus. Le destinataire doit donc r-ordonner les datagrammes pour reconstituer les messages et contrler quaucun datagramme nest perdu. DEA DEA Data Encryption Algorithm Algorithme de DES. Dchiffrement Decryption Opration inverse dun chiffrement rversible. Dcryptage Decryption Tentative de retrouver un message clair partir dun cryptogramme dont on nest pas le destinataire, en cassant le chiffrement dun texte de faon retrouver le texte en clair sans connatre la cl. DDOS DDOS Distributed Denial Of Service galement appele SCA (Saturation Computer Attack), cest une attaque informatique qui consiste envoyer des milliers de messages depuis des dizaines dordinateurs, dans le but de submerger les serveurs dune socit, de paralyser pendant plusieurs heures son site Web et den bloquer ainsi laccs aux internautes. Cette technique de piratage, assez simple raliser, est possible grce certains logiciels qui donnent linstruction des dizaines de serveurs dinonder de messages des sites Web, souvent des sites commerciaux connus,

pour provoquer un blocage du systme informatique, appel refus de service ou dni de service. Ces cyber-attaques, juges comme de la pure malveillance, ne font que bloquer laccs aux sites, sans en altrer le contenu. Deep inspection Deep inspection Technique rcente de firewalling permettant la dtection dattaques via la fragmentation de paquets. Deflection Deflection Mcanisme de rsolution du blocage qui consiste dvier les cellules concurrentes vers les mmoires tampon sur un chemin autre que la voie la plus courte entre le point de blocage et lentre ou la sortie. Dguisement Impersonation Acte de prtendre tre une autre entit dans le but daccder aux ressources de celle-ci ; angl : masquerade. Dlai de Transit Round Trip Delay Le dlai de transit correspond au temps de transmission Aller-Retour dun datagramme IP de 128 octets, entre 2 points donns du rseau de lOprateur. Ces points peuvent tre des PE ou des CE. Dpass ce dlai, les collisions ne sont plus dtectes.(En Ethernet 10Mb/s, il est de 51,2s. En Fast-Ethernet 100Mb/s il est de 5,12s). Dni de service/DoS Denial of service Attaque ayant pour but de bloquer le fonctionnement de machines ou de services, par saturation dune ressource. Impossibilit daccs des ressources pour des utilisateurs autoriss ou introduction dun retard pour le traitement doprations critiques. [ISO 7498-2]. Exemple : ICMP flood, Smurf, DES DES Data Encryption Standard Algorithme symtrique de chiffrement de donnes. Dsimlockage Unblocking SIM Les tlphones des packs sont lis leur carte SIM dorigine. Le dsimlockage se fait grce un code fourni par loprateur et permet votre mobile de fonctionner avec une autre carte SIM. Cette opration est gratuite 6 mois aprs lachat. Dtournement dappels Call splashing Procd qui consiste, pour un fournisseur indpendant de services tlphoniques, acheminer un appel interurbain, dun endroit diffrent de celui partir duquel il est mis, et qui a pour consquence den augmenter le cot. Exemple fictif : vous tlphonez de Bordeaux par loprateur X, mais les installations du fournisseur indpendant sont Londres, ce dernier achemine donc votre appel vers le rseau que vous avez choisi, mais partir de Londres. Ne pas confondre avec la Dviation dappel (Call deflection) qui est un complment de service tlphonique qui permet de faire acheminer un appel reu dun terminal vers un autre avant mme que toute communication soit tablie.

Terme technique English Signification de lacronyme Description

52

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

C/E
Dtournement informatique ADP embezzlement Automatic Data Processing emblezzlement Action de soustraire son profit des biens informatiques auxquels un accs a t accord. Le dtournement nimplique pas de modification des fichiers, ni ne se manifeste par aucune appropriation illgale dun bien matriel. Disponibilit Availability Proprit daccessibilit dans des conditions dfinies dhoraires, de dlais et de performances des informations et des fonctions par les utilisateurs autoriss. Distribution Distribution system Dlivrance par une autorit de distribution aux parties communicantes des cls mettre en uvre pour chiffrer ou dchiffrer des informations, y compris, le cas chant, des lments propres dautres abonns. DMZ DMZ Demilitarized Zone Zone Dmilitarise - Une DMZ contient un ou plusieurs services accessibles par internet tout en interdisant laccs au rseau priv. DNS DNS Domain Name Service Serveur de Nom de Domaine, effectuant la traduction du nom alphanumrique dune machine (ex : machine1@francetelecom.com) en son adresse IP (ex : 194.156.178.12) ; donc convertit des noms explicites en adresses IP. Domaine Domain name system Entit logique dfinie par ladministrateur du rseau local lui permettant de grer plusieurs serveurs physiquement distincts. Domaine de diffusion Multicast domain Ensemble de nuds affects par une mme trame broadcast. Domaine de collision Collision domain Ensemble de nuds affects par une collision commune. Domain Name Domain Name (Voir Nom de Domaine). Dongle Hardware key Priphrique disposant de fonctions cryptologiques et se connectant sur un port USB. DR Narrowcast Diffusion restreinte Des informations, non classifies, qui concernent le patrimoine scientifique, technique, industriel, conomique ou diplomatique, sont du domaine de la diffusion restreinte. DRM DRM Digital Right Management Mthode de gestion et de cration des droits dutilisation. DSL DSL Data Subscriber Line Ensemble de techniques de transmission utilisant la paire torsade tlphonique. DSLAM DSLAM Digital Subscriber Line Access Multiplexer quipement de collecte des clients ADSL, connect au rseau IP via un BAS. DSU/CSU DSU/CSU Data Service Unit/Channel Service Unit quipement reliant la ligne de loprateur au routeur de lentreprise. Elle sert de synchronisation avec le routeur de lentreprise et celui de loprateur. EAI EAI Enterprise Application Intergration Ensemble de technologies qui permet aux logiciels dune entreprise de communiquer et de travailler de concert. EAL EAL Niveau de certification en matire de scurit, attribu diffrents types de priphriques (carte puce par exemple). Ces niveaux sont dtermins par une norme ISO internationale et attribus en France par la DCSSI. EAP EAP Extensible Authentification Protocol Protocole dauthentification par mot de passe ou cls publiques. Cest une extension du protocole PPP. ebXML ebXML electronic business XML Version de XML adapte aux contenus de nimporte quel mtier. EBIOS EBIOS Expression des Besoins et Identification des Objectifs de Scurit Mthode danalyse des risques en SSI permettant de rdiger diffrentes formes de cahier des charges SSI (FEROS, profils de protection) et de contribuer llaboration du rfrentiel SSI dun organisme (schma directeur SSI, politique de scurit des systmes dinformation, tableaux de bord SSI). Elle constitue un outil indispensable la gestion des risques SSI. La mthode EBIOS se dcompose en 4 tapes : - ltude du contexte - lexpression des besoins de scurit - ltude des risques - lidentification des objectifs de scurit.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

53

coute Wiretapping Interception passive, donc sans altration, dune information transitant sur une ligne de tlcommunications ; lcoute constitue une violation de la confidentialit. EDI EDI change de Donnes Informatises/ Electronic data interchange Permet lchange par le rseau de documents commerciaux normalisstels que factures ou bons de commande. EIGRP EIGRP Enhanced Interior Gateway Routing Protocol Protocole de routage hybride combinant un routage par tat de lien et vecteur de distance. EIR EIR Equipment Identity Registrer Base de donnes qui regroupe les caractristiques des tlphones mobiles vols, perdus ou nayant pas t homologus dans le monde entier. Chaque mobile possde un numro didentifiant (lIMEI). Ce numro commence par le code du pays, suivi par deux chiffres identifiant le fabricant, le numro de srie et un chiffre alatoire. Cette base permet aux oprateurs didentifier les utilisateurs de mobiles vols et ainsi dempcher les possesseurs frauduleux de ces mobiles daccder leur rseau. lment essentiel Critical element Information ou fonction ayant au moins un besoin de scurit non nul. lment menaant Sensitive element Action humaine, lment naturel ou environnemental qui a des consquences potentielles ngatives sur le systme. Elle peut tre caractrise par son type (naturel, humain, ou environnemental) et par sa cause (accidentelle ou dlibre). Dans le cas dune cause accidentelle, elle est aussi caractrise par une exposition et des ressources disponibles. Dans le cas dune cause dlibre, elle est aussi caractrise par une expertise, des ressources disponibles et une motivation. Empreinte Digest Aussi appel condens. Chane de taille fixe obtenue par application dune fonction de hachage un ensemble de donnes. mulateur Emulator Logiciel ou dispositif lectronique permettant de faire fonctionner un systme la faon dun autre, par exemple un navigateur web la faon dun terminal. Encapsulation Encapsulation Technique qui consiste inclure un paquet muni dun protocole lintrieur dun autre paquet muni dun autre protocole afin que ce dernier transporte le premier paquet. Lintrt peut tre soit de rendre possible lutilisation du protocole

encapsul sur une liaison possdant le protocole encapsulant, soit de faire profiter le protocole encapsul des services rendus par le protocole encapsulant. La faon la plus logique dutiliser lencapsulation est dencapsuler un protocole de niveau suprieur dans un protocole de niveau infrieur, mais il est galement possible de faire linverse. Enjeu Stakes Ce que lon peut gagner ou perdre dans une entreprise, un domaine dactivit ou un projet. Lenjeu peut tre financier, commercial, organisationnel, technique (exemples : gains financiers, amliorations de limage de marque, remplir les obligations de service public, accroissement des avances technologiques). Entit Entity Bien qui peut tre de type organisation, site, personnel, matriel, rseau, logiciel, systme. quilibrage de charge Load Balancing Fonctionnalit sur des serveurs ou quipements identiques permettant de se partager mutuellement la charge des oprations effectuer. ERP ERP Enterprise Resource Planning Progiciel de gestion intgr, permettant de grer lensemble des processus dune entreprise. Estimation du risque Risk assessment Processus utilis pour affecter des valeurs lopportunit et aux pertes quun risque peut engendrer. Ethernet Ethernet Topologie de rseau informatique utilisant la norme bande de base 802.3, la mthode daccs CSMA/CD et pouvant atteindre des dbits thoriques de 1 1000 Mb/s. Conu par Intel, Xerox et Digital. Ethernet commut Switched Ethernet Technique de commutation de trames Ethernet. valuation Security assessment Estimation de la scurit dun produit ou dun systme par rapport des critres dvaluation dfinis. valuation du risque Risk bench Processus de comparaison du risque estim avec des critres de risque donns pour dterminer limportance dun risque. Exigence dassurance de scurit Must security insurance Spcification dassurance des fonctions de scurit mettre en uvre pour participer la couverture dun ou plusieurs objectifs de scurit, et portant gnralement sur lenvironnement de dveloppement du systme.

Terme technique English Signification de lacronyme Description

54

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

E/F
Exigences de scurit Security requierements Expression de besoins de scurit et de contrle associs une information ou une ressource. Elles sont spcifies en terme de : confidentialit, intgrit, disponibilit, imputabilit, nonrpudiation et de contrle daccs. Expertise Skills-based level Niveau attendu de comptence technique dun lment menaant dont la cause est dlibre. Ce niveau peut tre caractris par des comptences techniques faibles, moyennes ou fortes. Exposition Exposure Niveau dexposition naturelle dun systme-cible face un lment menaant dont la cause est accidentelle. Ce niveau peut tre caractris par une exposition faible, modre ou forte. FAI ISP Internet service provider Fournisseur dAccs Internet. Faille Failure Trou de scurit. Fail-over Fail-over Technique permettant de passer au-dessus des pannes. Ce nest pas de la tolrance aux pannes, mais cela y ressemble. Ici, on fait en sorte de pouvoir continuer fonctionner en mode dgrad. FAR FAR False Accept Rate Pourcentage relatif au fait quun utilisateur invalide est incorrectement trat (acceptance) dans une procdure dauthentification par dtection biomtrique. On parle derreur de Type 2 . Faux ngatif False negative On dsigne par ce terme labsence de dtection dune vulnrabilit ou le non dclenchement dune alerte dintrusion. LIDS ou loutil de dtection de vulnrabilits idal ne devrait jamais crer de faux ngatifs. En cas de doute, on prfre obtenir un faux positif qui rclamera une investigation plus pousse, mme si elle est inutile. Faux positif False positive On dsigne par ce terme une alerte dintrusion ou la dtection dune vulnrabilit non avre. La gnration de faux positifs par les IDS ou les outils de contrle de failles est invitable. Pour diminuer leur pourcentage, on recommande de corrler les informations obtenues par diffrentes sources. FCS FCS Frame Check Sequence Squence qui vrifie lintgrit de len-tte de la trame. FDDI FDDI Fiber Distributed Data Interface Structure normalise de rseau MAN double anneau en technologie optique, jeton circulant. FEROS FEROS Fiche dExpression Rationnelle des Objectifs de Scurit Dans le cadre dune dmarche scurit, document dfinissant les objectifs de scurit que doit rendre le systme ou le service dvelopper. FIFO FIFO First In First Out Mthode de coordination dun flux de donnes dans une file dattente. Les donnes reues en premier sont les premires ressortir. FIREWALL FIREWALL (Voir Pare-Feu). Fonction Facility Traitement ou ensemble de traitements contribuant au fonctionnement dune activit dun organisme, qui cre, modifie, dtruit ou transport des informations. Fonction sens unique Irreversible function Une fonction sens unique est une fonction facile calculer mais difficile inverser. La cryptographie clef publique repose sur lutilisation de fonctions sens unique brche secrte : pour qui connat le secret (i.e. la cl prive), la fonction devient facile inverser. Fonction de hachage Hash coding Fonction qui transforme une chane de caractres en une chane de caractres de taille infrieure et fixe. Cette chane est appele empreinte (digest en anglais) ou condens de la chane initiale. Cette fonction satisfait deux proprits. Il est difficile pour une image de la fonction de calculer lantcdent associ. Il est difficile pour un antcedent de la fonction de calculer un antcdent diffrent ayant la mme image. Fonction de hachage sens unique Irreversible hash coding Fonction de hachage qui est en plus une fonction sens unique : il est ais de calculer lempreinte dune chane donne, mais il est difficile dengendrer des chanes qui ont une empreinte donne. On demande gnralement en plus une telle fonction dtre sans collision, cest--dire quil soit impossible de trouver deux messages ayant la mme empreinte. Fonction de scurit Security function Mesure technique, susceptible de satisfaire un objectif de scurit. FR FR Frame Relay Relais de Trame - Protocole normalis de transmission de donnes de haut dbit, de niveau 2, fond sur une version allge de la norme X25.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

55

FRAD FRAD Frame Relay Access Device Concentrateur permettant de se raccorder un rseau Frame Relay et offrant diffrents types de services (FR, Voix sur FR, X.25, IP etc.). quipement assimilable un routeur spcialis. Fragmentation Compartmentalization Dcoupage en plusieurs morceaux dun paquet si les donnes envoyer dpassent le MTU. Fraude informatique Computer fraud Dlit informatique qui consiste utiliser ou falsifier des donnes stockes, en traitement ou en transit, afin den retirer des avantages personnels ou des gains financiers. Les fraudes informatiques se rpartissent en trois grandes catgories : a) la falsification des tats financiers ; b) le dtournement dactifs ; c) la vente ou la divulgation dinformations. Le systme informatique sert dinstrument dans la prparation, lexcution et le camouflage de la fraude. FTP FTP File Transfer Protocol Protocole de transfert de fichiers (utilis avec TCP) ; application rgissant ces transferts de fichiers (Internet). Golocalisation Position determination technology Systme qui permet dtre localis gographiquement par le biais de son tlphone mobile afin de recevoir des informations propres lendroit o lon se trouve. Gestion du risque Risk management Activits coordonnes visant diriger et piloter un organisme vis--vis du risque. La gestion du risque inclut typiquement lapprciation du risque, le traitement du risque, lacceptation du risque et la communication relative au risque. GFC GFC Generic Flow Control Protocole de la couche ATM sassurant que chacun des nuds ATM peut transmettre. GIX GIX Global Internet eXchange Nud dinterconnexion internet, o les oprateurs internet schangent du traffic selon une logique de peering. GOST GOST (GOsudarstvennyi STandard Soyuza SSR/ Standart gouvernemental de lURSS) Algotithme de chiffrement par bloc, clef symtrique. GOST fonctionne la manire du DES sauf quil utilise, entres autres, une clef de 256 bits et non pas 56.

GPRS GPRS General Packet Radio Service Service de radiocommunication. Technologie en mode paquet permettant daccder aux services Internet/Intranet laide de multiples canaux radio qui sont attribus un utilisateur ou partags par plusieurs utilisateurs. GRE GRE Generic Routing Encapsulation Mthode dencapsulation de donnes permettant de faire passer du flux dun type de rseau sur un autre type de rseau. On parle de tunnel GRE. Dvelopp par CISCO. GTR Time to repair warrenty Garantie de Temps de Rtablissement Engagement contractuel du fournisseur rtablir, en un temps dtermin aprs sa prise en compte, le fonctionnement dun service dont bnficie le Client. GSS GSS Generic Security Service Interface dapplication gnrique de scurit pour les applications distribues. Les bibliothques GSS fournissent des services de scurit aux applications communicantes dune faon gnrique. Les API (Application Programming Interface) GSS supportent plusieurs mcanismes de scurit (Kerberos, SESAME, DCE), cachent lutilisateur final la complexit des mcanismes mis en uvre, sont compltement indpendantes des protocoles de communication mis en uvre. Elles permettent dtablir un contexte de communication sr avec une entit distante, aprs traitement dun ou plusieurs jetons dauthentification par le module de scurit, et liaison par une signature cryptographique de ce contexte avec lidentification dune voie logique ou physique (channel bindings) et permettent en particulier la signature et vrification de messages. Habilitation Authorization Procdure par laquelle une entit autorise formellement un individu exercer une srie de prrogatives. La notion dhabilitation rpond un besoin de confidentialit. On distingue : - la diffusion personnalise rserve aux documents stratgiques et qui demande contrle daccs, identification et authentification forte des destinataires, traage des oprations ralises ; - la diffusion contrle qui impose de connatre les dtenteurs successifs de linformation, mmes contraintes que prcdemment sans traage ; - la diffusion interne qui concerne tout le personnel et ne demande quun contrle daccs avec identification et authentification faible des destinataires ; - la diffusion libre destine au grand public donc sans contrle. Hacker Hacker (Voir Pirate). Handshake Handshake (Voir Ngociation).

Terme technique English Signification de lacronyme Description

56

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

F/ I
Hash(ing) Hash(ing) (Voir Condensat(ion)). HDLC HDLC High Level Data Link Control Protocole synchrone de liaison de donnes (niveau 2), permettant damliorer le rendement des supports utiliss. Le contrle de redondance des informations transmises est assur par un Code Cyclique ; X25 niveau 2 et FR sont bass sur HDLC. Hearth-beat Hearth-beat Lien physique (gnralement un cable crois) entre deux firewalls qui sont configurs en mode haute-disponibilit afin de connatre leur tat respectif. Hiperlan Hiperlan High Performance Radio LAN Standard de WLAN de lETSI. Hoax Hoax Canulars : ils prtendent dcrire un virus extrmement dangereux, ils utilisent un langage pseudo-technique pour rendre impressionnant les faits relats, ils prtendent que le rapport a t issu ou confirm par une entreprise bien connue, ils demandent de faire suivre cette alerte tous vos amis et collgues. Homologation Agreement Autorisation dutiliser, dans un but prcis ou dans des conditions prvues, un produit ou un systme (en anglais : accreditation). Cest lautorit responsable de la mise en uvre du produit ou du systme qui dlivre cette autorisation, conformment la rglementation en vigueur. Honey Pot Honey Pot De faon littrale : Pot de miel . Dans le domaine de la scurit informatique, par boutade, cest ainsi que lon dsigne un serveur charg dattirer des pirates dans le but dtudier leurs mthodes dattaques. La machine qui sert de leure doit tre suffisamment attractive pour veiller lintrt mais elle ne doit receler aucune information confidentielle relle ! Le pirate est assimil un gros ours balourd comme ont les rencontre parfois dans les dessins annims. :-) Horodatage EDR Electronic date recognition Service qui associe de manire sre un vnement et une heure afin dtablir de manire fiable lheure laquelle cet vnement sest ralis. Hotspot Hotspot Appellation dsignant une zone de couverture permettant tout possesseur dordinateur quip Wi-Fi de se connecter internet sans fil. HSDPA HSDPA High Speed Downlink Packet Access volution du standard UMTS permettant la transmission de donnes en mode paquets dans le sens station de base vers abonn un dbit maximal de 10 Mb/s. HSRP HSRP Protocole propritaire CISCO permettant un routeur dtre en secours dun autre routeur situ sur le mme rseau Ethernet, sur la base dune adresse IP virtuelle commune. Protocole inspir du protocole normalis VRRP. HTML HTML HyperText Markup Language Langage de marquage de documents hypertexte, driv de SGML ; langage devenu standard de fait pour la conception de pages sur lInternet. HTTP HTTP HyperText Transfer Protocol Protocole de transfert de donnes Internet utilis pour grer le dialogue (requtes-rponses) entre browsers et serveurs Web. Hypertexte Hypertext Systme gnralis de manipulation et de navigation interactive dans les documents textuels, grce des liens. Hypothse Hypothesis Postulat, pos sur lenvironnement oprationnel du systme, permettant de procurer les fonctionnalits de scurit attendues. IAPRP IAPRP Inter-Acess Point Roaming Protocol Protocole utilis par les points daccs wi-fi pour faire de litinrance (roaming). ICMP ICMP Interface Control Message Protocol Protocole denvoi de messages de contrle et dinformation. Les messages ICMP sont transports dans la partie donnes des paquets IP. Utilis par la commande ping. Protocole de niveau 3 intgr IP qui permet de connatre ltat dun nud ou dun rseau. ICP ICP Infrastructure cls publiques - en anglais PKI Ensemble de composants, fonctions et procdures ddis la gestion de cls et de certificats. Une ICP offre en gnral les services suivants : contrle de validit de demandes de certificats, fabrication et signature de certificats, publication de certificats dans un annuaire, rvocation de certificats, publication des rvocations. ICV ICV Integrity Check Value Valeur de vrification dintgrit . Cette valeur est calcule par lexpditeur sur lensemble des donnes protger.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

57

LICV est alors envoye avec les donnes protges. En utilisant le mme algorithme, le destinataire recalcule lICV sur les donnes reues et la compare lICV originale. Si elles se correspondent, il en dduit que les donnes nont pas t modifies. Identification Identification Proprit permettant dtablir un lien avec une personne physique qui on associe un identifiant (exemple : nom, code alliance, numro de scurit sociale). IDS IDS Intrusion Detection System Systme de dtection dintrusion bas sur un quipement de type sonde rseau (ou sonde systme ) permettant de dtecter en temps rel les tentatives dintrusion sur un rseau (ou sur un systme). Terme gnrique faisant rfrence aux quipements ou logiciels chargs de dtecter des intrusions. Les IDS permettent de garder une trace dvnements anormaux, de signaler en temps rel des oprations juges illgales et mme de ragir sur la base de signatures dattaques ou lanalyse de comportements (heuristique). On distingue deux types dIDS : les NIDS (Network Intrusion Detection Systems) pour les rseaux et les HIDS (Host-based Intrusion Detection Systems) pour les serveurs. IGP IGP Interior Gateway Protocol Nom gnrique des protocoles de routage utiliss dans les rseaux sous mme entit administrative. Exemple : RIP, OSPF, IS-IS. IGRP IGRP Interior Gateway Routing Protocol Protocole de routage link-state spcifique au constructeur Cisco. IMEI IMEI International Mobile Equipment Identity Numro didentification unique chaque tlphone mobile. Il peut tre utilis afin de bloquer un appareil vol. Il est donc conseiller de le noter au pralable. Ce code 15 chiffres est prsent sous la forme de quatre nombres spars par -, /, ou des espaces (par exemple : 449176/08/005766/1) ou dun seul nombre 15 chiffres (exemple : 332167404758456). Il se trouve au dos du mobile sous la batterie, ainsi que sur ltiquette du coffret demballage. Il est galement consultable directement depuis son mobile en composant : *#06# sur le clavier. Impact Impact Consquence sur lentreprise de la ralisation dun risque ou dune menace. Imputabilit Accountability Capacit de pouvoir attribuer, avec le niveau de confiance exig, une action sur une information ou une ressource un utilisateur dtermin.

IMS Maximum service interruption Interruption Maximale de Service Temps maximal pendant lequel un site du Client est indisponible. Un site Client bnficiant du service de secours de bout en bout est considr comme indisponible lorsquil ne peut communiquer ni par le lien nominal ni par le lien de secours. Information Information lment de connaissance susceptible dtre reprsent sous une forme adapte une communication, un enregistrement ou un traitement. Infrastructure Infrastructure Le terme infrastructure a une signification diffrente selon le contexte. Frquemment, linfrastructure dsigne le matriel ou a un rapport direct avec lui, et la plupart du temps le terme inclut les logiciels et les tlcommunications. Intgrit Integrity Proprit dexactitude et de compltude des informations et des fonctions de linformation traite. Celles-ci ne doivent pouvoir tre modifies que par un acte volontaire et lgitime. Dans le cadre de communications, ce service consiste permettre la dtection de laltration des donnes durant le transfert. On distingue deux types dintgrit : 1- lintgrit en mode non connect permet de dtecter des modifications sur un datagramme individuel, mais pas sur lordre des datagrammes. 2- lintgrit en mode connect permet en plus de dtecter la perte de paquets ou leur rordonnancement. Lintgrit est trs lie lauthentification de lorigine des donnes, et les deux services sont souvent fournis conjointement. Internet Internet Rseau interconnectant la plupart des pays du monde. Fond sur le protocole de communication TCP/IP indpendant du type de machine, du systme dexploitation et du support de transport physique utilis. Internet fonctionne de manire dcentralise, et les routes empruntes par les paquets dinformations ne sont pas figes. Intrusion Intrusion Pntration non autorise dun systme ou dun rseau. On distingue deux types dintrusion : 1- lintrusion passive, qui affecte la confidentialit des informations et consiste couter ce qui transite sur un rseau. 2- lintrusion active qui cherche modifier ou dtruire des informations ou dattenter la continuit de service du systme ou du rseau. IOS IOS Internetwork Operating System Nom du systme dexploitation des machines CISCO.

Terme technique English Signification de lacronyme Description

58

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

I /L
IP IP Internet Protocol Protocole Internet. Agissant au niveau 3 du modle OSI, il traite des informations dadressage et quelques fonctions de contrle permettant aux paquets dtre routs. IP appartient la suite de protocoles TCP/IP. IPv4 utilise des adresses de 32 bits, IPv6 utilise des adresses de 128 bits. IPBX IPBX IP Branch eXchange Autocommutateur dentreprise en technologie IP. IPSEC IPSEC IP Security protocol Protocole de scurisation des changes sur rseau IP, par tablissement de tunnels, authentification mutuelle et chiffrement des donnes. IPsec fait appel deux mcanismes de scurit pour le trafic IP : les mcanismes AH (Authentication Header) et ESP (Encapsulating Security Payload). LAH est un en-tte conu pour assurer lintgrit et lauthentification des datagrammes IP sans chiffrement des donnes. Son but est dajouter aux datagrammes IP classiques un champ supplmentaire permettant, lorsquils arrivent destination, de vrifier lauthenticit des donnes incluses dans le datagramme. LESP a, quant lui, pour objectif dassurer la confidentialit des donnes. Il peut aussi tre utilis pour garantir leur authenticit. partir dun datagramme IP, lESP gnre un nouveau datagramme dans lequel les donnes et ventuellement len-tte original sont chiffrs. AH et ESP utilisent tous les deux un certain nombre de paramtres (algorithmes de chiffrement, cls, mcanismes slectionns) sur lesquels les quipements doivent sentendre afin dtre srs de pouvoir communiquer. Ces paramtres sont grs grce la Security Association (SA), une base de donnes o sont stockes les informations dcrivant lensemble des paramtres associs une communication donne. Cette base de donnes contient donc la cl utilise pour le cryptage des donnes. IPsec spcifie en outre une mthodologie pour la gestion des cls : il sagit de lInternet Key Exchange (IKE). Cette mthodologie dcrit une srie dtapes afin de dfinir les cls utilises pour lencryption et pour le dcryptage des donnes. Il sagit en fait de dfinir un langage commun afin que les deux parties puissent sentendre. IP spoofing IP spoofing Technique qui consiste usurper lidentit dun autre utilisateur du rseau, en utilisant son adresse IP, ce qui permet de faire croire que la connexion provient dun compte dutilisateur autoris. Lors dune attaque par saturation, par exemple, ladresse IP source des requtes envoyes sera falsifie pour viter de localiser la provenance de lattaque. Lordinateur do provient lattaque nest alors pas identifiable. ISAKMP Internet Security Association and Key Management Protocol Standard (RFC 2408) des procdures et formats des paquets pour ltablissement, la ngotiation, la modification, larrt ou la destruction dchange de cls utilises dans les solutions IPSec. Les formats employs ne sont pas lis un algorithme de chiffrement ou un mcanisme dauthentification particulier. ISO 17799 OSI 17799 La norme ISO 17799, issue de la norme anglaise BS7799, constitue un code de bonnes pratiques pour la gestion de la scurit de linformation. Elle fait lobjet en Grande Bretagne dun schma de certification (C:Cure) qui permet aux entreprises anglaises dtre rfrences par rapport cette norme. La norme propose plus dune centaine de mesures possibles rparties en 10 chapitres : Politique de scurit, Organisation de la scurit, Classification des informations, Scurit du personnel, Scurit de lenvironnement et des biens physiques, Administration, Contrle daccs, Dveloppement et maintenance, Plan de continuit, Conformit lgale et audit de contrle. Isochrone Synchronous Caractristique dune liaison qui nadmet pas de retard dans la transmission : les extrmits travaillent au mme rythme. Un retard perturbe la transmission. ISP ISP Internet Service Provider (Voir FAI). JAVA JAVA Langage interprt de gnration dapplets pour les applications client-serveur (Internet). Invent par SUN. Jepi Jepi Joint Electronics Payement Initiative Systme permettant luniversalit du paiement, autant pour le vendeur que lacheteur, quelque soit son mode. Soutenu par Commerce Net et le World Wide Web Consortium. Jeton Token Information particulire circulant en permanence sur un rseau, et signifiant une invitation mettre. Par extension, mot de passe non rejouable mis par une personne ou un dispositif lectronique, et permettant notamment son authentification. JPEG JPEG Joint Photographic Experts Group Technique de compression dimages fixes, dveloppe pour des applications de stockage ou de tlcommunications. L2TP L2TP Layer 2 Tunnelling Protocol Protocole permettant de crer un tunnel de niveau 2 , supportant des sessions multiprotocoles PPP, sur architectures IP, Framerelay ou ATM. Il permet de normaliser les fonctionnalits de tunneling et de garantir une interoprabilit entre les quipements. LAC LAC L2TP Access Concentrator Point de dpart des tunnels L2TP (gnralement le NAS ou BAS). Concentrateur en entre de tunnel charg de transmettre les paquets dun client PPP pour tablir une connexion sur un serveur LNS.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

59

LAN LAN Local Area Network Rseau local interconnectant des quipements informatiques (ordinateurs, serveurs, terminaux) dans un domaine gographique priv et limit, afin de constituer un systme cohrent. LDAP LDAP Lightweight Directory Access Protocol Protocole de gestion dannuaires de rseau, adaptation allge du standard X.500. LDP LDP Label Distribution Protocol Protocole utilis par MPLS pour distribuer des tiquettes (labels) servant la commutation de paquets. LER LER Label Edge Router Routeur MPLS de priphrie, situ lentre du rseau de loprateur, permettant dtiquetter les flux IP pour tre transports sur un rseau MPLS. LIFO LIFO Last In First Out Mthode de coordination dun flux de donnes dans une file dattente, par opposition la mthode FIFO. Les donnes reues en dernier sont les premires ressortir. LIR LIR Local Internet Registries Entit charg de recevoir et grer les demandes dadresses IP sur Internet. Le fournisseur daccs internet fait office de LIR gnralement. Log Log Fichier texte tenu jour par un serveur, dans lequel il note les paramtres lis chaque connexion. Loss Loss Dans le mcanisme de rsolution de la concurrence, les cellules sont supprimes lendroit mme o le blocage survient. LNS LNS L2TP Network Server Point de terminaison des tunnels L2TP du client et aggrgeant lensemble des sessions. Serveur en fin de tunnel traitant les sessions PPP envoyes par le LAC transportes par L2TP. Loopback Loopback Test permettant deffectuer un diagnostic de la ligne. Il compare le signal envoy et le signal retourn aprs avoir travers tous les composants de la ligne du rseau.

LSP LSP Label Switched Path Tunnel suivi par un paquet MPLS pour arriver destination. LSR LSR Label Switch Router Routeur MPLS en cur de rseau. MAC MAC Medium Access Control Partie de la couche liaison de donnes (niveau 2) qui assure la gestion de laccs au support physique. MAC MAC Message Authentication Code (Voir CAM). MAC Address MAC Address (Voir Adresse MAC). Mailbomb Mailbomb Message envoy en de multiples exemplaires lors dune opration de mailbombing. Il sagit dun courrier lectronique vide, revendicatif voire injurieux, souvent accompagn dun fichier joint volumineux afin dencombrer plus rapidement la bote aux lettres de la victime. Ce fichier joint peut tre un virus, ce qui est surtout symbolique car face un bombardement de messages par centaines le destinataire comprend en gnral instantannment quil est la cible dune attaque. Mailbombing Mailbombing Attaque basique qui consiste envoyer des centaines, des milliers voire des dizaines de milliers de messages appels mailbombs un unique destinataire dans un but videmment malveillant. Ce dernier va du simple encombrement de bote aux lettres, avec possibilit de perte de donnes en cas de saturation de la capacit de stockage, jusquau crash machine ou dni de service. Comme en cas de spamming, il est ventuellement possible didentifier lagresseur et de porter plainte, mais les fournisseurs daccs peuvent galement spontanment dtecter de telles attaques par la hausse dactivit suspecte voire la dgradation de performance quelles entranent. Le mailbombing est illgal et svrement puni par la loi : le 24 mai 2002, un internaute franais a t condamn quatre mois de prison avec sursis et 20 000 euros de dommages-intrts pour avoir voulu ainsi se venger dun rival amoureux. Malware Malware Contraction de malicious software , le terme malware dsigne les programmes spcifiquement conus pour endommager ou entraver le fonctionnement normal dun systme, tels que les virus, les vers, les chevaux de Troie, ainsi que certains javascripts ou applets java hostiles. Cette famille ne doit pas tre confondue avec les spywares (espiogiciels), autre famille de logiciels dont le fonctionnement est galement contestable mais dont le but premier nest pas de nuire lintgrit

Terme technique English Signification de lacronyme Description

60

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

L /M
dun systme. Les antivirus dtectent et liminent une grande partie des malwares sans toutefois pouvoir jamais atteindre 100 % defficacit 100 % du temps : il reste donc indispensable de nexcuter un programme ou un fichier joint que si sa sret est tablie avec certitude, le doute profitant toujours aux malwares. MAN MAN Metropolitan Area Network Rseau mtropolitain, dune porte gographique lchelle dune ville, charg dinterconnecter des LAN. Man in the middle Man in the middle Lattaque Man In The Middle ou Attaque de lhomme au milieu porte bien son nom. Il sagit dun type dattaque o une tierce personne sinterpose de manire transparente dans une connexion pour couter sans se faire remarquer. Le type courant dattaque Man In The Middle pour le rseau repose sur plusieurs attaques dARP poison vers des postes cibls. Le but de cette attaque est de remplacer les tables ARP des victimes afin de mettre le poste attaquant en position dcoute entre les cibles. (Voir ARP poison). MARION MARION Mthode dAnalyse des Risques Informatiques et Optimisation par Niveaux Mthodologie daudit, qui permet dvaluer le niveau de scurit dune entreprise au travers de questionnaires pondrs dans diffrents thmes de la scurit : - le niveau de scurit est valu suivant 27 indicateurs rpartis en 6 grands thmes, chacun deux se voyant attribuer une note de 0 4, le niveau 3 tant le niveau atteindre pour assurer une scurit juge correcte ; - les thmes sont : scurit organisationnelle, scurit physique, continuit de service, organisation informatique, scurit logique et exploitation, scurit des applications. Mascarade Spoofing Usurpation didentit Acte de prtendre tre une autre entit dans le but daccder aux ressources de celle-ci ; incident au cours duquel un tiers non autoris prtend tre le vritable utilisateur. Masque de sous-rseau Netmask Le masque permet dintgrer une station dans un rseau et de sparer plusieurs rseaux selon les entits de lentreprise par exemple. MAU MAU Multistation Access Unit Point de connexion central sur un rseau Token-Ring. MBS MBS Maximum Burst Size Reprsente le nombre de cellules ATM que peut mettre le Matriel Client au dbit crte, et qui seront considres par le rseau du Fournisseur conformes au contrat de trafic de la connexion concerne. Mcanisme de scurit Mecanism Logique ou algorithme qui implmente par matriel ou logiciel une fonction particulire ddie la scurit ou contribuant la scurit. MEHARI MEHARI MEthode HArmonise dAnalyse du Risque Mthode danalyse du risque dveloppe par le CLUSIF. Le but de la mthode dapproche top-down est de mettre disposition des rgles, modes de prsentation et schmas de dcision. Lobjectif de la mthode est de proposer, au niveau dune activit comme celui dune entreprise, un plan de scurit qui se traduit par un ensemble cohrent de mesures permettant de pallier au mieux les failles constates et datteindre le niveau de scurit rpondant aux exigences des objectifs fixs. Le modle de risque MEHARI se base sur 6 facteurs de risque indpendants : 3 sur la potentialit du risque et 3 sur son impact ; 6 types de mesures de scurit (structurelle, dissuasive, prventive, de protection, palliative, de rcupration). Les phases de MEHARI sont : - phase 1 : tablissement dun plan stratgique de scurit (global) ; - phase 2 : tablissement de plans oprationnels de scurit raliss par les diffrentes units de lentreprise ; - phase 3 : consolidation des plans oprationnels (global). Menace Threat Potentialit dune action ou dun vnement sur une information ou une ressource susceptible de porter un prjudice. La menace peut tre intentionnelle ou accidentelle. Une menace intentionnelle est ralise par un agresseur qui a des motivations, elle ncessite des moyens (financiers et techniques) et du temps. Lautre type de menace, survient la suite dune erreur ou dun accident. Message Message Dans le monde des rseaux, un message est une suite de donnes binaires formant un tout logique pour les tiers communicants. Lorsquun message est trop long pour tre transmis dun seul bloc, il est segment et chaque segment est envoy sparment dans un paquet distinct. Mesure de scurit Administrative security measure Moyen destin amliorer la scurit, spcifi par une exigence de scurit et mettre en uvre pour la satisfaire. Il peut sagir de mesures de prvision ou de prparation, de dissuasion, de protection, de dtection, de confinement, de lutte , de rcupration, de restauration, de compensation Mthode Security method Outil permettant danalyser, de concevoir, dvaluer ou de contrler, ensemble ou sparment, la scurisation des systmes dinformation. Mthode dattaque Attack method Moyen type (action ou vnement) pour un lment menaant de raliser une attaque.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

61

Mtrique Metric routing La mtrique dfinit dans un protocole de routage le nombre de sauts raliser pour atteindre lextrmit ou le rseau distant. Il peut se baser sur le nombre de routeurs traverss, sur la bande passante ou sur un cot de transmission. MGCP MGCP Media Gateway Control Protocol Protocole dfini pour grer le passage des signaux vocaux dun rseau tlphonique traditionnel vers un rseau utilisant le protocole TCP-IP. MHEG MHEG Multimedia and Hypermedia Experts Group Norme de structuration et de reprsentation fonctionnelle dapplications multimdia ; conception oriente objet. MIB MIB Management Information Base Zone mmoire dun quipement contenant son tat ; base de donnes dinformations sur ladministration de rseaux. MIE ADM Multiplexeur Insertion-Extraction/Add-drop multiplexer quipement permettent linsertion ou lextraction reconfigurable dune partie des flux synchrones. MIME MIME Multipurpose Internet Mail Extension Standard utilis par la messagerie pour coder des fichiers binaires et intgrer tout type de donnes (son, images, programmes). Des extensions MIME ont t dveloppes pour corriger les limitations initiales de la messagerie Internet, et en particulier pour tre indpendantes de la machine mettant, transmettant ou recevant le message. MIR MIR Maximum Information Rate Dbit maximum en entre du rseau du Fournisseur que peut atteindre un CVP. Mot de passe dynamique Dynamic password Mot de passe chang automatiquement intervalle rgulie ou chaque connexion. Un module didentification (carte, calculette, ), synchronis avec le serveur, fournit la partie variable du mot de passe. Motivation Grounds Motif dun lment menaant. Elle peut avoir un caractre stratgique, idologique, terroriste, cupide, ludique ou vengeur et diffre selon quil sagit dun acte accidentel (curiosit, ennui, ) ou dlibr (espionnage, appt du gain, volont de nuire, idologie, jeu, fraude, vol, piratage, dfi intellectuel, vengeance, chantage, extorsion de fonds).

MPEG MPEG Moving Pictures Experts Group Technique normalise de compression dimages animes. MPLS MPLS MutiProtocol Label Switching Protocole de lIETF permettant de crer et de grer des rseaux privs virtuels totalement scuriss, en utilisant le rseau priv du Fournisseur. Associ au protocole DiffServ, MPLS permet galement de transporter les flux de faon diffrencie grce aux Classes de Services (CoS). MPLS-VPN MPLS-VPN Adaptation de la technologie MPLS pour construire des rseaux privs virtuels au dessus dun rseau IP partag. MPOA MPOA Multiprotocol over ATM Protocole autorisant le transport de protocoles classiques routs sur un rseau ATM. MSS MSS Maximum Segment Size Indicateur de la taille maximale dun segment TCP non fragment. Le MSS est dtermin en fonction du MTU. MTBF MTBF Mean Time Between Failures Dure moyenne entre deux pannes. MTS Synchronous final multiplexer Multiplexeur Terminal Synchrone quipement terminal synchrone, plac chez le client. MTTR MTTR Mean Time To Repair Dure moyenne de rparation. MTU MTU Maximal Transmission Unit Dtermine la taille maximale des paquets de niveau 3 en fonction du niveau 2 (Ethernet, FDDI, Token Ring, ). MUA MUA Mail User Agent Terme technique dfinissant le client de messagerie (Outlook, Eudora, Sylpheed, Mail). Multicast Multicast Diffusion restreinte. Principe identique au broadcast mais vers un nombre restreint de destinataires, utilis par exemple par les outils de confrence.Type dopration qui consiste envoyer un seul message plusieurs destinataires, et dont lapplication la plus rpandue est la vidoconfrence.

Terme technique English Signification de lacronyme Description

62

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

M/ O
Multilink PPP Multilink PPP Cest un protocole autorisant lutilisation de plusieurs connexions PPP afin de rpartir la charge de traffic entre deux quipements connects en PPP. Multiplexage Multiplexing Technique de mlange permettant de faire passer plusieurs communications sur un mme canal de transmission. NACK ou NAK NACK ou NAK Not Acknowledged Bit indiquant que les donnes nont pas t reues par lquipement. NAPT NAPT Network Address Port Translation Sur un routeur NAT, une seule adresse IP publique est utilise. Les clients privs utilisent un port TCP associ ladresse IP publique qui est dfinie par le routeur. Cest le type de NAT le plus rpandu. NAS NAS Network Access Server Concentrateur permettant aux utilisateurs daccs commuts RTC, RNIS ou GSM de se connecter au rseau Transpac. quivalent au BAS pour lInternet commut. Il peut inclure un mcanisme de scurit (Firewall ou antivirus) ou disposer dun OS embarqu pour assurer une fonctionnalit de serveur. NAT NAT Network Address Translation Protocole de translation dadresse permettant de traduire une adresse IP (ou une plage dadresses) provenant de machines se trouvant lintrieur dun rseau priv, en une autre adresse publique pour aller sur lInternet. Terme connu aussi sous le nom de mascarade IP ( IP-masquerading ). Mcanisme utilis pour attribuer au poste de travail dun intranet une adresse IP diffrente lorsquil sort sur le rseau internet. Pour les routeurs, cest une technique simple permettant un accs internet simultan plusieurs PC avec seulement une adresse IP fixe disponible. Pour les firewalls, cest un moyen de garder secret la vritable adresse IP des postes situs dans lintranet et donc les protger dattaques directes. Ngociation ATS Alternative Trading System Squence dchange dinformation entre deux nuds avant lenvoi de donnes. NetWare NetWare Systme dexploitation possdant des fonctionnalits-rseau dvelopp par Novell. Nom de Domaine Domain name Nom dlivr et enregistr par les autorits comptentes de lInternet en France ou ltranger. Ce nom officiel identifie internationalement les rseaux et machines auxquels les adresses sont rattaches. Non-rejeu Non-replay Garantie quun adversaire ayant intercept des messages au cours dune communication ne pourra pas les faire passer pour des messages valides en les injectant soit dans une autre communication, soit plus tard dans la mme communication. Non-Rpudiation Non-repudiation Impossibilit pour un utilisateur de nier sa participation un change dinformation ; cette participation porte tant sur lorigine de linformation (imputabilit) que sur son contenu (intgrit) NTP NTP Network Time Protocol Protocole permettant de synchroniser lhorloge des stations avec une trs grande prcision. Objectif de scurit Security objective Expression de lintention de contrer des menaces ou des risques identifis (selon le contexte) et/ou de satisfaire des politiques de scurit organisationnelles et des hypothses ; un objectif peut porter sur le systme-cible, sur son environnement de dveloppement ou sur son environnement oprationnel. OCSP OCSP Online Certificate Status Protocol Protocole permettant une personne de vrifier la validit dun certificat, en particulier sil a t rvoqu. OFDM OFDM Orthogonal Frequency Division Multiplexing Technique de modulation de signaux pour les technologies ADSL ou 802.11a. Opportunit Capabilities occur Mesure de la possibilit de survenance dune attaque. OSI OSI Open System Interconnection Modle darchitecture pour linterconnexion des systmes informatiques labor par lISO. Il distingue sept couches , depuis linfrastructure physique de transport jusquaux applications (tlphonie, fax, Linternet ne suit pas exactement ce modle. OSPF OSPF Open Shortest Path First Protocole de routage intra-domaine, permettant galement lacheminement multi voies. OUI OUI Organizationally Unique Identifier Identifiant compos des trois premiers octets dune adresse MAC. Il dfinit le fabricant de la carte rseau.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

63

Overhead Overhead Donnes utilises pour la gestion administrative dun paquet. PABX PABX Private Automatic Branch eXchange Autocommutateur priv dentreprise et reli aux rseaux publics de tlcommunication. Ses interfaces-rseau fonctionnent en commutation de circuits. PAP PAP Password Authentification Protocol Protocole dchange de donnes didentification/authentification par mot de passe afin de scuriser une session sur un rseau PPP. Standardis par lIETF. Paquet Data packet Un paquet est une suite de donnes binaires ne pouvant pas dpasser une longueur fixe. Il est obtenu en dcoupant un message en plusieurs segments et en ajoutant chaque segment un en-tte contenant un certain nombre dinformations utiles lacheminement de ce paquet sur le rseau (options, destinataire). La taille maximale dun paquet dpend du rseau ; un paquet peut correspondre un message entier si celui-ci est court, mais en gnral il ne forme pas un tout logique pour le destinataire. Les paquets sont achemins sparment jusquau destinataire, qui attend la rception de tous les paquets pour pouvoir reconstituer le message. Pare-Feu Firewall Dispositif install une frontire du rseau qui protge un rseau interne vis--vis de lextrieur et interdit le trafic non autoris de lintrieur vers lextrieur. Il assure les fonctions de passerelles applicatives (proxy), dauthentification des appels entrants, daudit et enregistrement de ces appels (log). Passerelle de scurit Security gateway Une passerelle de scurit est un systme intermdiaire (par exemple un routeur ou un firewall) qui agit comme interface de communication entre un rseau externe considr comme non fiable et un rseau interne de confiance. Elle fournit, pour les communications traversant le rseau non fiable, un certain nombre de services de scurit. Dans IPsec, une passerelle de scurit est un quipement sur lequel sont implments AH et/ou ESP de faon fournir des services de scurit aux htes du rseau interne lorsquils communiquent avec des htes externes utilisant aussi IPsec (soit directement soit par lintermdiaire dune autre passerelle de scurit). PAT PAT Port Address Translation Translate un flux de donnes provenant dune adresse IP publique vers une adresse IP prive en fonction du port TCP/UDP de destination.
Terme technique English Signification de lacronyme Description

PDH PDH Plesiochronous Data Hierarchy Hirarchie numrique plsiochrone, dans laquelle chaque conduit possde son propre rythme ; tend tre remplace par SDH. PE PE Provider Edge Routeur du backbone Internet. Peer to Peer Peer to Peer Station station : communication directe entre deux stations. Perfect Forward Secrecy/PFS Perfect Forward Secrecy/PFS Proprit dun protocole dchange de clef selon laquelle la dcouverte, par un attaquant, du ou des secrets long terme utiliss ne permet pas de retrouver les clefs de sessions. Pigeage Trapping Action dlibre qui consiste introduire un pige dans un systme informatique. Pigtail Pigtail Cble permettant de relier du matriel Wifi (Carte, point daccs, ) une antenne. PIN PIN Personal Identification Number Numro didentification personnel. Le code PIN est un code de scurit 4 chiffres dfini par lutilisateur qui protge la carte SIM de toute utilisation frauduleuse en cas de perte ou de vol du tlphone. Aprs 3 essais errons, votre carte sera bloque. Ping Ping Packet INternet Groper Programme de recherche et de vrification de la prsence dune machine (IP). Utilitaire TCP/IP permettant de connatre ltat dun nud sur le rseau. Piratage tlphonique Phreaking Action de pirater les rseaux tlphoniques via Internet, avec lintention de frauder et den retirer des avantages personnels ou des gains financiers. Cette fraude consiste principalement craquer les systmes tlphoniques afin de tlphoner gratuitement. Le terme phreaking vient de phone freak. Dans le jargon des pirates informatiques, la substitution des lettres dun mot est obligatoire. Phone devient fone et freak devient phreak, puis phreaking. Pirate Cracker Terme gnrique employ pour dsigner celui qui craque ou attente lintgrit dun systme informatique, de la simple duplication de donnes laccs aux ressources dun centre de calcul (vol, pillage de programmes, de fichiers, ). Les pirates ont lhabitude dtre classs en 3 groupes :

Payload Payload Donnes utiles dun paquet.

64

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

O/P
1- les white Hat qui uvrent pour une diffusion de linformation sur les vulnrabilits du web (le full disclosure) et la prvention des risques informatiques ; 2- les black Hat qui uvrent la mise au point dapplications permettant dexploiter les vulnrabilits du web, mais ne soumettent gnralement pas leur dcouverte au public (no-disclosure) ; 3- les grey Hat qui se situent mi-chemin entre white et black hat. PKCS PKCS Public Key Cryptography Standards Ensemble de standards de chiffrement traitant des questions relatives aux clef publiques, sur une initiative de la socit RSA Data Security. Par exemple, PKCS#3 dcrit lchange de clef selon Diffie-Hellman, PKCS#8 dfinit le format des clefs prives, ou encore PKCS#10 tablit la syntaxe dune demande de certificat. PKI PKI Public Key Infrastructure (Voir ICP). PKIX PKIX Public Key Infrastructure - X.509 Groupe de travail de lIETF visant faciliter la gense dICP fondes sur la norme X.509 pour des applications Internet. Sous cette dnomination, lIETF tente dharmoniser les diffrents composants des infrastructures cls publiques (PKI) comme les protocoles de gestion des cls et dchanges de certificats, les formats de certificats, les requtes dans les listes dannuaires avec la scurit comme base commune de dveloppement (notamment, intgration de S/Mime). Plsiochrone Plesiochronous Technique de multiplexage qui uniformise la longueur des trames, en insrant ou supprimant des bits. Politique de scurit Security policy Ensemble des critres permettant de fournir des services de scurit. Politique de scurit de systme dinformation Computer security policy Ensemble formalis dans un document applicable, des lments stratgiques, des directives, procdures, codes de conduite rgles organisationnelles et techniques, ayant pour objectif la protection du (des) systme(s) dinformation de lorganisme. Policy Server Policy Server Terme propre au logiciel CheckPoint Firewall-1. Il sert didentification, dauthentification aux ACL pour les utilisateurs se connectant via un lien VPN. Pollupostage Spamming (Voir Spamming). Polluriel Spam quivalent franais de email spam. (Voir Spamming). PoP PoP Point Of Presence Point de Prsence du rseau du FAI. Port Port Interface dordinateur pouvant tre branch un modem pour communiquer avec un terminal distant ; adresse du point daccs au service sur UDP et TCP. Post-Routing Post-Routing Utilis dans la terminologie firewall pour spcifier les oprations effectuer aprs dcision de routage. Exemple : connexion internet de plusieurs clients dun rseau priv sur internet avec une seule adresse IP publique. Pourriel Junk e-mail Nom gnrique contraction de poubelle et de courriel dsignant les courriers lectroniques inopportuns voire intempestifs qui finissent la poubelle ds rception. Daprs lOQLF, le pourriel comprend les courriels envoys par spamming (essentiellement les publicits sauvages) et par mailbombing (notamment les messages infects par certains virus capables de senvoyer en plusieurs dizaines dexemplaires aux mmes internautes en un temps rduit). On peut galement y ajouter les hoax, ces canulars du web qui devraient constituer la prochaine bte noire des internautes. Pourriel est utilis comme synonyme franais de spam quelque peu abusivement. (Voir Spamming). PPP PPP Point to Point Protocol Protocole dchange de donnes liaison, utilis en particulier pour la liaison entre un ordinateur isol et un provider, afin daccder Internet. Standardis par lIETF. PPPoA PPPoA Point to Point Protocol over ATM Protocole dchange de donnes liaison utilisant la technologie ATM. PPPoE PPPoE Point to Point Protocol over Ethernet Protocole dchange de donnes liaison utilisant la technologie Ethernet. Protocole permettant de combler un manque dans le protocole PPP, cest--dire la reconnaissance des adresses MAC (Medium Access Control) permettant ainsi de faire passer du PPP sur Ethernet. PPTP PPTP Point To Point Tunneling Protocol Protocole de cryptage de connexions point point dfini par Microsoft. Prjudice Injury Consquence sur lentreprise de la ralisation dun risque.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

65

Pre-Routing Conditional routing Utilis dans la terminologie firewall pour spcifier les oprations effectuer avant dcision de routage. Exemple : port forwarding. Principe Principle Les principes de scurit sont la fois lexpression de contraintes (lois, rglements, environnement technique) et dorientations de scurit pour llaboration dune politique. Les principes doivent permettre llaboration de rgles. Prise de risque Risk acceptation Acceptation de la charge de la perte dun risque particulier. Prise rseau Handshake La Prise matrialise laccs du client au rseau de lOprateur. Elle comprend un routeur install et gr par le Fournisseur sur le site du Client, et la liaison daccs au rseau. PRN PRN Random Number Code numrique dfini dynamiquement (par exemple, changeant frquence fixe). Le PRN est habituellement associ un PIN pour fournir un code daccs hautement scuris. Profil de protection Protection profil Introduit par les Critres Communs, un Profil de Protection (PP) permet de dfinir un ensemble dobjectifs et dexigences de scurit pour une catgorie de Target Of Evaluation (TOE) ou cible dvaluation donne. Un PP a donc lavantage dexposer les exigences de scurit ncessaires la satisfaction des objectifs de scurit, mais il doit dabord subir lui-mme une valuation scurit selon les Critres Communs pour tre dclar complet, cohrent et techniquement correct . Protocole Protocol Description dun ensemble de rgles respecter dans lutilisation dquipements rseaux. Proxy Proxy Service qui partitionne la communication entre le client et le serveur en tablissant un circuit entre le client et le firewall, et un deuxime entre ce dernier et le serveur (Internet). Proxy applicatif Application proxy Type de firewall laissant passer des donnes dapplications spcifiques selon des rgles de filtrage dfinis. PTI PTI Payload Type Indicator Champ de len-tte dune trame qui identifie le type et la classe du trafic.

QoS QoS Quality of Service Techniques permettant de prioriser des flux sur un rseau IP, en fonction des contraintes des applications quils supportent. RADIUS RADIUS Remote Authentication Dial-In User Service quipement informatique (matriel et logiciel) fonctionnant ce standard, et assurant les vrifications didentification et authentification des utilisateurs du client. Il peut appartenir au client qui la install sur son site ou tre souscrit auprs du fournisseur daccs. RADIUS est un standard Internet qui dcrit un serveur dauthentification centralis et le protocole des changes mis en uvre pour lauthentification dutilisateurs distants. Lintrt de cette solution rside dans lunicit de la base des donnes des utilisateurs (base centralise). Le serveur RADIUS partage avec lutilisateur un mot de passe ventuellement une cl secrte et avec le serveur de contrle daccs (NAS) un secret. Ainsi lutilisateur saisit son mot de passe. Il est rcupr par le NAS (utilisation de MD5). Ce dernier gnre un ala (valeur alatoire de lutte contre le rejeu) et le concatne avec le secret quil partage avec RADIUS avant de calculer le condens de lensemble. Il calcule le XOR de ce condens et du mot de passe utilisateur pour obtenir la valeur Request Authenticator (RA) quil envoie RADIUS qui effectue le contrle dauthentification. Si le serveur RADIUS et lutilisateur partagent une cl secrte ( la place du mot de passe), RADIUS met en uvre un mcanisme dauthentification par question/rponse. Dans ce cas, lorsque le NAS envoie le message RA , RADIUS rpond en envoyant un ala lutilisateur via le NAS. Lutilisateur effectue un calcul sur lala avec sa cl secrte et envoie sa rponse RADIUS via le NAS pour authentification. Une authentification peut aussi tre effectue en employant le protocole CHAP entre lutilisateur et le NAS, cest alors le NAS, la place de RADIUS, qui fournit lala lutilisateur. RAI (FT) Rseau dAlerte et dIntervention Terminologie FT. Rseau tlphonique compltement indpendant du rseau public et utilisant ses propres commutateurs. Dimensionn pour accepter le trafic de gestion des crises majeures. Supporte un service daudioconfrences grce des ponts ddis. RARP RARP Reverse Address Resolution Protocol Protocole de recherche dadresse IP (couche rseau), utilis par les machines sans disque pour leur propre compte. Redondance Redundancy Concept de duplication dquipements-rseau assurant la continuit de service en cas de dfaillance de lun deux. Rduction du risque Minimize risk Processus visant minimiser les consquences ngatives et les opportunits dune menace. Registrar Registrar Entit charge de la gestion des noms de domaines utiliss sur internet. Pour tre un registrar, il faut tre membre dun registre.

Terme technique English Signification de lacronyme Description

66

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

P/S
Registre Register Entit charge de la gestion des TLD (Top Level Domain) sur internet. Exemple de TLD : .fr ; .uk ; .es ; .fi Rgle de scurit Security Rule Les rgles expriment dans un environnement et un contexte donn, les principes de scurit, sous une forme permettant la mise en place de moyens et de comportements adapts. La dfinition des rgles doit prvoir le contrle de leur mise en uvre. Rejeu Replay Attaque contre un systme cryptographique, consistant stocker et rutiliser ultrieurement un message en plus dun autre ou la place dun autre. Action consistant envoyer un message intercept prcdemment, en esprant quil sera accept comme valide par le destinataire. Rpudiation Rpudiation Fait de nier avoir particip des changes, totalement ou en partie. Ressources disponibles Available ressources Moyens attendus dun lment menaant. Ce niveau constitue son potentiel dattaque et peut tre caractris par des ressources faibles, modres ou leves. Reverse-proxy Reverseproxy Il sert de relais un client qui souhaite se connecter un serveur distant afin de protger son propre serveur contre les attaques externes. De lextrieur on voit ladresse IP du relais inverse mais pas celui du serveur. Il sert dacclrateur (server accelerator) et peut faire de lquilibrage de charge (load balancing). Rvocation Revoked key Annonce quune cl prive a perdu son intgrit. Le certificat de la cl publique correspondante ne doit plus tre utilis. Rijndael Rijndael Contraction du nom de ses auteurs (Rijmen et Daemen) Cet algorithme travaille sur des blocs entiers de 128 bits en utilisant des cls de 128, 192 ou 256 bits. On le dsigne souvent comme le successeur du DES et Triple DES. RIP RIP Routing Information Protocol Protocole de routage de type vecteur de distance. Risque Risk Combinaison de la probabilit et de limpact dcoulant de lexploitation dune vulnrabilit par une menace sur une information ou une ressource. Risque rsiduel Residual risk Risque subsistant aprs le traitement du risque. Routage Routing Mcanisme utilis pour diriger les cellules dans le rseau. Il existe deux types de routage : externe, pour la transmission des cellules entre diffrents points du rseau, et interne, pour diriger les cellules lintrieur mme dun commutateur multivoies. Route IP routing Chemin emprunt dans lacheminement dun datagramme IP entre deux sites du Client. Routeur IP router quipement de niveau 3 OSI charg de trouver le meilleur chemin prendre pour atteindre une autre machine, par exemple dans un rseau IP. Chaque paquet de donnes reu par le routeur est ainsi transmis au nud suivant appropri pour suivre son chemin vers la machine vise. Routeur filtrant Screening router Routeur pourvu de fonctions de filtrage de niveau 4 sur les ports TCP/UDP de destination. RFC RFC Request For Comment Littralement, Appel commentaires . Cest en fait un document dcrivant un des aspects dInternet de faon relativement formelle (gnralement, spcification dun protocole). Ces documents sont destins tre diffuss grande chelle dans la communaut Internet et servent souvent de rfrence. On peut les trouver sur la plupart des sites FTP. RPV VPN Rseau Priv Virtuel Rseau priv dentreprise multi-sites utilisant les rseaux doprateur pour leur interconnexion. Dans le cadre de la scurit des changes, rseau compos par un ensemble dhtes et dquipements qui utilisent des protocoles spcifiques pour scuriser leurs communications. RSA RSA Rivest, Chamir, Adleman Systme de chiffrement asymtrique cl publique dont le nom est constitu par les initiales de ses inventeurs. RTD RTD Round Trip Delay (Voir Dlai de Transit). SAML SAML Security Assertion Markup Language Bas sur XML, intgrant les notions de profil et droits daccs, ce langage devrait simposer lavenir pour propager les niveaux de protection entre applications rseau.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

67

SAR SAR Segmentation And Reassembly Technique de cellularisation des messages utilise par exemple sur rseau ATM : les trames de longueurs variables en provenance dun metteur non ATM sont haches en paquets de dimension fixe auxquels sont rajouts les enttes ATM ; au niveau du rcepteur, les cellules appartenant une mme trame sont reconstitues grce aux informations contenues dans len-tte. SATAN SATAN System Administrative Tool for Analysing Networks Outil librement distribu, dvelopp par Dan Farmer et Wieste Venema, dont lobjectif est daider les administrateurs rseau corriger les faiblesses bien connus de leur environnement. Les experts en scurit ont souvent dcri ce logiciel car des pirates sen sont galement servi leur profit (mais ny a-t-il pas plutt un conflit dintrt la base ?). Scan Scan Action ralise par un programme pour parcourir la configuration dun systme dans le but de dtecter des vulnrabilits. Scellement Integrity locking Mcanisme de scurit permettant dassurer lintgrit et lauthentification de lorigine des donnes. SD EO (eyes only) Secret Dfense La mention secret dfense est rserve aux informations dont la divulgation est de nature nuire la Dfense nationale et la sret de ltat. SDA Slection Directe lArrive Service daccs direct un poste tlphonique derrire un autocommutateur dentreprise sans passer par le standard. SDH SDH Synchronous Digital Hierarchy Nouvelle hirarchie numrique synchrone europenne pour le multiplexage de rseaux fibre optique ; permet des dbits beaucoup plus grands que la PDH. Normalise par lUIT-T. Son dbit de base est de 155Mb/s. Elle est compatible avec la hirarchie SONET utilise aux USA et au Japon. SDSL SDSL Symmetric Digital Subscriber Line Technologie de transmission numrique sur paire de cuivre arrivant chez labonn semblable lADSL, mais dbits montant et descendant gaux. SecurID SecurID Il sagit dun produit commercial de Security Dynamics, largement diffus dans le monde, se prsentant sous la forme dune calculette au format carte de crdit, permettant

de scuriser un login. Son principe est de combiner lheure un mot de passe pour gnrer un mot de passe dynamique valide pendant seulement 60 secondes. Ce dernier est ensuite vrifi et trat par un serveur daccs ddi. Scurit Security tat de protection, face aux risques identifis, qui rsulte de lensemble des mesures gnrales et particulires prises pour satisfaire aux exigences de scurit concernant linformation et les ressources associes. Ces mesures peuvent se dcliner en fonction du contexte (scurit du systme dinformation, scurit des biens physiques, scurit des personnes). Mesures de prvention et de raction mises en uvre pour faire face une situation dexposition rsultant de risques accidentels, quil soient le fait de lhomme, de la machine ou de la nature. Servlet Servlet Appliquette destine tre excute sur le serveur et non pas chez le client. Session Session Intervalle de temps entre le dbut dun change ou dune communication et sa fin. SET SET Protocole labor conjointement par Mastercard et Visa dans le but dassurer un haut degr de scurisation aux transactions financires en ligne ncessitant lutilisation dune carte de crdit. SHDSL SHDSL Symmetric High bitrate Digital Subscriber Line Accs DSL symtrique haut dbit. Signature dattaque Attack signature Signature servant identifier en temps rel une tentative dattaque sur un rseau, qui, une fois reconnue par le systme de dtection dintrusion, fonctionne comme un coupe-feu et permet de bloquer les accs non autoriss au serveur. On peut classer les outils de dtection dintrusion selon deux modes de fonctionnement : lun se basant sur les signatures dattaques et lautre sur les anomalies du systme (analyse heuristique). Un systme de dtection dintrusion ne peut dtecter que les attaques dont il possde la signature. De ce fait, il est ncessaire de faire des mises jour quotidiennes. Ainsi, le systme de dtection est aussi bon que lest la base de signatures. Si les signatures dattaques sont errones ou incorrectement conues, lensemble du systme est inefficace. Il est possible, laide dun assistant de dfinition de signature dattaque personnalise, de construire ses propres signatures dattaques pour protger les applications ou les environnements internes et ainsi en rduire la vulnrabilit. Signature numrique Digital signature Transformation lectronique permettant dassurer lauthentification du signataire et ventuellement celle dun document sign par lui. Donnes ajoutes

Terme technique English Signification de lacronyme Description

68

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

S/S
une unit de donnes, ou transformation cryptographique dune unit de donnes, permettant un destinataire de prouver la source et lintgrit de lunit de donnes et protgeant contre la contrefaon (par le destinataire, par exemple). [ISO 7498-2]. Une signature numrique fournit donc les services dauthentification de lorigine des donnes, dintgrit des donnes et de nonrpudiation. Ce dernier point la diffrencie des codes dauthentification de message, et a pour consquence que la plupart des algorithmes de signature utilisent la cryptographie cl publique. La signature peut prendre deux formes : 1- transformation chiffre : un algorithme cryptographique modifie directement le message (par exemple chiffrement du message avec une cl prive). 2- donnes annexes : des donnes supplmentaires sont adjointes au message (par exemple une empreinte, chiffre avec une clef prive). SLA SLA Service Level Agreement Engagements de la part du fournisseur sur la qualit du service fourni. Ils dterminent le niveau dindemnisation du client en cas de non atteinte dun niveau minimum de disponibilit de service. Slamming Slamming Type de pratique frauduleuse en tlphonie qui consiste changer le fournisseur dappels interurbains dun client sans son consentement. SLIP SLIP Serial Line Internet Protocol Protocole utilis pour les connexions sries point point. SMDS SMDS Switched Multimegabit Data Service Technologie haut-dbit commutation sur des rseaux WAN. SMHD SMHD Service Multisite Haut Dbit Service dinfrastructure offert par FT aux clients multi-sites, par dploiement dune boucle optique trs haut dbit (jusqu 2,5 Gb/s) installe sur un primtre restreint (ville). S/MIME S/MIME Secure MIME Extension scurise de MIME (provenant de la socit RSA Data Security) intgrant des services dauthentification par signature digitale (MD5, SHA-1) et confidentialit par chiffrement (RSA, RC2, DES). S/MIME traite galement des aspects certificat ANSI X.509 et du tranfert par internet. SMTP SMTP Simple Mail Transfert Protocol Protocole application de courrier lectronique. SNA SNA Systems Network Architecture Architecture de rseau dfinie par IBM. SNAT SNAT Source NAT Technologie de NAT modifiant ladresse IP source dun paquet. Toujours utilis en Post-Routing. Sniffer Sniffer Analyseur de trames - Logiciel permettant de consulter le contenu des trames circulant sur le rseau. SNMP SNMP Simple Network Managment Protocol Protocole dadministration distance permettant de superviser les quipements rseau par accs la MIB de chacun deux. SOA SOA Services Oriented Architecture Architecture oriente services, la base des services web. SOAP SOAP Simple Object Access Protocol Protocole de communication assurant linteroprabilit des applications travers le web. Social engineering Social engineering Pratique consistant abuser de la confiance dun ou de plusieurs personnes, dans le but de rcuprer des informations confidentielles : le social engineering ou comment se servir de la faille humaine pour obtenir des codes confidentiels, des informations sensibles, des numros de modems de tlmaintenance, etc. Socket Socket Mcanisme de communication (structure logicielle dfinissant une connexion entre deux htes sur le rseau) utilis en programmation dapplication rseaux, qui fait apparatre le rseau comme un fichier que lon peut crire ou lire. Les protocoles sous-jacents sont masqus au programmeur. Toute une bibliothque de fonctions de programmation est associe ce mcanisme. Somme de contrle Checksum Condens dun ensemble de donnes, calcul par lexpditeur avant lenvoi des donnes et recalcul par le destinataire la rception pour vrifier lintgrit des donnes transmises. SONET SONET Synchronous Optical NETwork Normalisation SDH amricaine. Spam Spam Message intempestif envoy une personne ou un groupe de personnes lors dune opration de spamming. Il faut prendre lhabitude de supprimer ce genre de messages sans les lire et sans cliquer sur aucun lien (y compris le lien de dsabonnement), afin de ne pas encourager cette pratique et ne pas en recevoir soi-mme davantage. Spam est galement

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

69

couramment employ pour dsigner le seul polluriel (email spam). Spamming Spamming Le spamming consiste en des pratiques de multipostage abusif : Excessive Multi-Posting (EMP), Excessive Cross Posting (ECP) ; mais peut aussi correspondre une indexation abusive dans les moteurs de recherche. On parle alors de spamdexing ou encore dengine spamming. Lenvoi en nombre de messages lectroniques est qualifi de spamming en rfrence au caractre non sollicit du message. Celui-ci comporte le plus souvent un objet publicitaire qui transforme lenvoi en un message promotionnel non sollicit par son destinataire. Le second critre de dfinition du spamming en matire de courrier lectronique rside dans le transfert de charges quil occasionne au dtriment du destinataire (cost-shifting). Cette situation est analogue celle rencontre avec lenvoi de fax des fins commerciales. Cette pratique a t depuis lors interdite dans de nombreux pays ou bien soumise au consentement pralable (opt-in) des personnes vises comme la notamment impose la directive europenne 97/66 du 15 dcembre 1997 (article12 alina 1er et 2). Spanning Tree Spanning Tree Algorithme et protocole permettant aux ponts de dtecter des boucles dans le rseau et dinhiber ces boucles. SPF SPF Shortest Path First Algorithme du plus court chemin. Appel aussi algorithme de Dijsktra. SPI SPI Security Parameter Index Bloc de 32 bits qui, associ une adresse de destination et au nom dun protocole de scurit (par exemple AH ou ESP), identifie de faon unique une association de scurit (SA). Le SPI est transport dans chaque paquet de faon permettre au destinataire de slectionner la SA qui servira traiter le paquet. Le SPI est choisi par le destinataire la cration de la SA. Spyware Spyware Logiciel excut sur un ordinateur linsu de son propritaire, et conu dans le but de collecter des donnes personnelles (adresse IP, URL consultes, mots de passe, numros de cartes de crdit, ) et de les renvoyer son concepteur via internet, sans autorisation pralable dudit utilisateur. Un spyware (ou espiogiciel, mouchard) est un logiciel espion contenant un programme qui, par Internet, peut recueillir et transmettre les donnes personnelles dun internaute une rgie publicitaire, notamment sur ses intrts, ses habitudes de tlchargement et de navigation. Tout cela dans un but exclusivement commercial. Ces mouchards prsents dans de nombreux logiciels gratuits (freewares) ou en version de dmonstration (sharewares) sinstallent lors du tlchargement et ne sont pas dtectables par lutilisateur.

SSH SSH Secure Shell Protocole permettant de se connecter sur une autre machine pour y excuter des commandes et pour dplacer des fichiers dune machine lautre. SSH offre une authentification forte et des communications scurises sur des canaux non srs. SSI ISS Scurit des Systmes dInformation Protection des systmes dinformation, et en particulier des lments essentiels, contre toute atteinte des critres de scurit non autorise, quelle soit accidentelle ou dlibre. SSL SSL Secure Socket Layer Protocole de scurisation des changes sur internet, dvelopp par Netscape. Il est intgr dans tous les navigateurs rcents. Il assure authentification, intgrit et confidentialit Il repose sur un algorithme RSA. Il vise scuriser les changes entre un serveur et un client sur Internet en offrant des mcanismes de chiffrement, de ngociation de cls de chiffrement, dintgrit de message (MAC), dauthentification du serveur et, en option, du client. La non-rpudiation nest pas offerte. Le protocole est indpendant du niveau applicatif, il peut donc tre utilis de faon transparente avec HTTP (HyperText Transfer Protocol), FTP (File Transfer Protocol) et Telnet notamment. Il repose sur un protocole de transport fiable (par exemple TCP). Le protocole SSL propose 54 choix possibles de mcanismes de scurit avec le support des algorithmes RSA, DSS, Diffie-Hellman , Skipjack, SHA, MD5, DES, triple DES, IDEA, RC2 et RC4.A noter que 3 types de cls Diffie-Hellman sont distingues dans SSL : les cls DH sont signes par lautorit de certification, les cls DHE (Diffie-Hellman Ephemeral) sont signes par une entit disposant dun certificat sign par lautorit de certification, les cls DH anonymous sont des cls DH changes sans authentification pralable des partenaires. SSO SSO Single Sign On Fonction permettant de disposer dune identification unique, quelque soit le service applicatif. Stganographie Steganography La stganographie est lart de cacher des donnes dans dautres donnes : cacher un texte dans une image, une image dans un fichier musical, une image dans une autre image, Sret Reliability Mesures de prvention et de raction mises en uvre pour faire face une situation dexposition rsultant de menaces ou dactions malveillantes. Sret des biens physiques Physical asset reliability Ensemble des mesures de protection contre les vnements malveillants. Ces mesures portent notamment sur les contrles daccs physiques aux sites (protection priphrique), aux btiments (protection primtrique), aux locaux et aux matriels (protection intrieure), en mode nominal et en mode dgrad ou en crise.

Terme technique English Signification de lacronyme Description

70

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

S/T
SYN Synchronus Bit de synchronisation dans les communications TCP/IP. Synchrone Synchronus Mode de transmission dans lequel lmetteur et le rcepteur fonctionnent au mme rythme, cals sur une mme horloge. Syslog Syslog Fichier servant enregistrer les vnements dun systme. (Voir Log). Systme dInformation (SI) IS Ensemble dentits organis pour accomplir des fonctions de traitement dinformation. Tout moyen dont le fonctionnement fait appel llectricit et qui est destin laborer, traiter, stocker, acheminer, prsenter ou dtruire linformation (c.f.[901/DISSI/DCSSI] SWIFT SWIFT Society for Worldwide Interbank Financial Telecommunication Rseau bancaire mondial ouvert en 1977 dans plus de 190 pays par les banques, permettant les changes lectroniques entre plus de 7 000 institutions financires. TACACS TACACS Terminal Access Concentrator Access Control Server Protocole dauthentification par question/rponse, uniquement point point. Protocole dchange entre un serveur daccs distant et un serveur dauthentification pour vrifier si lutilisateur a le droit ou non de se connecter au rseau protg. TCP - IP TCP - IP Transmission Control Protocol over Internet Protocol Norme de communication entre systmes htrognes, et dfinissant un ensemble de protocoles dchange dinformation. EIle repose sur la transmission par paquet et contrle la transmission entre machines connectes. TCP est le protocole qui achemine les messages sans dcoupage ni regroupement, avec garantie de bon port. IP est le protocole qui assure le routage, ainsi que la fragmentation et le rassemblage des paquets. TDMA TDMA Time Division Multiple Access Accs multiple rpartition dans le temps (AMRT) ; multiplexage temporel partageant une mme ressource entre plusieurs utilisateurs ; technique adopte par la norme GSM. TDP TDP Tag Distribution Protocol Protocole propritaire CISCO utilis par MPLS pour distribuer des tiquettes (labels) servant commuter les paquets. TELNET TELNET TELecoms NETwork Protocole application de connexion distance (remote login). Protocole faisant parti de TCP/IP permettant de se connecter sur un hte distant. Ce protocle nest pas scuris sans lutilisation de Kerberos. Tempest Tempest Le terme TEMPEST regroupe lensemble des mesures prises ou prendre pour viter que la connaissance par coute ou interception de certains des signaux parasites mis par un matriel lectronique quelconque ne permette de remonter aux informations qui sont lorigine de leur cration ; les rayonnements dits compromettants dont il est question se propagent : - par rayonnement dans latmosphre, avec une porte de lordre de quelques dizaines de mtres. - par induction puis conduction dans des matriaux mtalliques situs proximit des quipements en cause, les distances pouvant alors tre de plusieurs centaines de mtres. Tiers de certification Certification authority Organisme charg de grer et de dlivrer les cls publiques avec la garantie quelles appartiennent bien leurs possesseurs reconnus. Tiers de confiance Trusted third party Organisme charg de maintenir et de grer, dans le respect des droits des utilisateurs, les cls de chiffrement ou dauthentification. Les tiers de confiance peuvent tre des tiers de certification ou des tiers de squestre. Tiers de squestre Trusted authentication authority Organisme charg de garder les cls secrtes de chiffrement, et de les remettre si ncessaire aux autorits de justice. TKIP TKIP Temporal Key Integrity Protocol Protocole destin fournir des clefs de chiffrements temporaires dans le cadre dun change rseau de donnes (par exemple WPA). Algorithme de cryptage utilis par le WPA gnrant de nouvelles cls dynamiques par tranche de 10Ko de donnes transmises. TNT Digital directto-home television Tlvision Numrique Terrestre Projet franais de dploiement dun systme terrestre de diffusion de la tlvision par techniques numriques. ToIP ToIP Telephony Over IP Concept regroupant lensemble mixable des technologies permettant de fournir un service de tlphonie sur la couche IP : PABX IP, PABX standard associ un routeur IP, Centrex IP, et interconnectable au travers dun rseau de transport IP.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

71

Token Token (Voir Jeton). Token Ring Token Ring Technique et mthode daccs dune catgorie de rseau en anneau ; le jeton est renvoy aprs retour de la trame mise. Normalise 802.5. Topologie Topology Configuration physique des nuds rseaux au sein dune entreprise. Traabilit Security audit trail Suivi rgulier de la qualit offerte par audits et rapports dactivit rguliers. Traceroute Traceroute Utilitaire TCP/IP permettant dindiquer les routeurs traverss pour atteindre une station. Traitement du risque Risk processing Processus de slection et de mise en uvre des mesures visant modifier le risque, ce qui signifie une rduction du risque, un transfert du risque ou une prise de risque. Transfert du risque Risk transfer Partage avec une autre partie de la charge de la perte dun risque particulier. TSD Trs secret Dfense La mention TSD est rserve aux informations dont la divulgation est de nature nuire gravement la Dfense nationale et la sret de ltat, et qui concernent les priorits gouvernementales en matire de Dfense. TTL TTL Time To Live Compteur utilis par IP pour dfinir le nombre de sauts maximum quun paquet peut raliser durant son acheminement. Il est dcrment de 1 chaque traverse de routeur. Quand le TTL est 0 le paquet est dtruit. Tunneling Tunneling Technique consistant crer un tunnel entre deux points du rseau en appliquant une transformation aux paquets une extrmit (gnralement, une encapsulation dans un protocole appropri) et en les reconstituant lautre extrmit. UDDI UDDI Universal Description, Discovery, Integration Protocole visant contituer un annuaire mondial en ligne rfrenant lensemble des services web disponibles.

UDP UDP User Datagram Protocol Protocole non structur, rapide, utilis pour transmettre des paquets dinformation sur un rseau. Il est lun des 2 mcanismes de transport du protocole TCP/IP. Protocole de niveau 4 fonctionnant en mode non connect (Pas de ngociation avant envoi) sur la pile TCP/IP. UMTS UMTS Universal Mobile Telecommunication System Concept de rseau mobile de troisime gnration dans les travaux de lETSI. Unicast Unicast Terme dsignant lenvoie de donnes vers un seul nud. URL URL Uniform Resource Locator Systme didentification des documents Internet et Intranet. USB USB Universal Serial Bus Interface universelle de connexion de priphriques externes, bus srie et connecteur normalis. Utilisateur User Personne ou chose qui utilise les services dune organisation. Utilitaire de dsinfection Eradication software Petit programme permettant de rechercher et dliminer un nombre limit de virus. Il sagit exclusivement dun scanner la demande utilisant une analyse par signatures et dont les dfinitions de virus ont t limites un seul voire quelques virus. Mis disposition par les diteurs dantivirus, principalement lors des pidmies importantes, il permet aux utilisateurs ne possdant pas dantivirus ou dont lantivirus aurait t rendu inutilisable de tout de mme dsinfecter leur ordinateur. Ne disposant pas de moniteur pour surveiller le systme en temps rel, lutilitaire de dsinfection est incapable dempcher une recontamination si lutilisateur excute nouveau un fichier contamin ou sil ne comble pas la faille logicielle possiblement utilise par le virus pour sexcuter automatiquement. VBR VBR Variable Bit Rate Niveau de dbit variable. Classe de service ATM utilise pour faire de lIP ou du FR sur ATM. VCI (et VPI) VCI (et VPI) Virtual Channel Identifier (et Virtual Path Identifier) Identit du canal virtuel et de la voie virtuelle. Vecteur dinitialisation Initialization Vector Bloc de valeur quelconque servant initialiser un chiffrement avec chanage de blocs, et donc faire en sorte que deux messages identiques donnent des cryptogrammes distincts.

Terme technique English Signification de lacronyme Description

72

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

T/W
Ver Worm Forme de virus ayant la proprit de se dupliquer au sein dune machine, voire de se copier dune machine lautre travers le rseau. Virus Virus Un virus est un programme qui se rpand travers les ordinateurs et le rseau. Les virus sont conus pour sauto-rpliquer (cest--dire se copier tout seuls). Ils sauto-rpliquent gnralement sans que lutilisateur nen ait connaissance. Les virus contiennent souvent des charges , actions que le virus ralise sparment de sa rplication. Les charges peuvent aller de lennui (par exemple, le virus WM97/Class D, qui affiche de faon rpte des messages tels que I think that nom de lutilisateur is a big stupid jerk ) au dsastre (par exemple, le virus CIH, essayant de rcrire le Flash BIOS, qui peut provoquer des dommages irrparables sur certaines machines). On dnombre 3 grandes catgories de virus, en fonction de la cible vise dans lordinateur : 1- les virus dapplications, notamment les virus de dmarrage (Parity Boot) et les virus dits parasites, qui infectent les fichiers excutables, cest--dire les programmes (.exe, .com ou .sys). Pour simplifier, disons que le virus remplace lamorce du fichier, de manire tre excut en premier, puis il rend la main au programme sollicit, camouflant ainsi son excution aux yeux de lutilisateur. 2- les virus macro qui infectent uniquement les documents (Word, Excel). Ces virus se propagent rapidement et peuvent causer de grands dgts (formatage du disque dur par exemple). 3- les virus de mail, galement appels vers. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se rpandre grande vitesse. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent galement avoir des actions destructrives pour les ordinateurs contamins. Particulirement redoutables. VLAN VLAN Virtual LAN Rseau local virtuel ; concept dsignant la runion de groupes dutilisateurs physiquement spars gographiquement, en un seul rseau apparent. VoIP VoIP Voice Over IP Technologie permettant de fournir un service de tlphonie en mode IP. VP VP Virtual Path Conduit virtuel ATM, compos dun ou plusieurs VC. VPN VPN Virtual Private Network (Voir RPV). VRF VRF VPN Routing and Forwarding Tables construites et maintenues au niveau des routeurs PE de rattachement. Elles sont consultes par les paquets mis par un site faisant parti du VPN client. Les VRF contiennent les routes reues des routeurs CE clients directements connects ainsi que des autres routeurs PE. La distribution des routes est contrle via des protocoles de routages dynamiques qui sappuient sur des attributs permettant didentifier lensemble des tables VRF dun routeurs PE, ainsi que les sites autoriss lui fournir dautres routes. VRRP VRRP Virtual Router Redundancy Protocol Protocole dlection permettant de faire fonctionner plusieurs routeurs avec la mme adresse IP, lun deux tant le chef. Si celui-ci tombe en panne, les autres prennent le relais. Vulnrabilit Vulnerability Faiblesse dune ressource dinformation qui peut tre exploite par une ou plusieurs menaces. Elle peut tre introduite pendant la conception ou lexploitation de cette ressource dinformation. Un systme dinformations tant compos de manire indissociable de matriels et de personnels effectuant des traitements donnes, la vulnrabilit sadresse : - aux personnels qui sont amens commettre des erreurs mais sont aussi susceptibles de commettre des actes de malveillance (divulgation, nuisances) ; - lorganisation qui connat des dysfonctionnements (de procdure, de savoirfaire), du laxisme ; - aux matriels soumis des dfaillances, des perturbations du milieu ambiant ; - aux logiques imparfaites de traitement, de cohrence ; - aux systmes de communication (coute, brouillage, saturation, intrusion). WAN WAN Wide Area Network Rseau grande distance, en gnral interurbain, par opposition au LAN (rseau local). Permet entre autres dinterconnecter les rseaux locaux. Wardriving Wardriving Le Wardriving est une forme de piratage qui consiste rechercher les rseaux sans fils dtectables sur la voie publique. Pour cela, un wardriver est quip dun terminal mobile, avec une antenne et ventuellement un mobile GPS. Il na alors plus qu se balader tranquillement pour capter les rseaux sans fils existants dans les parages et les cartographier. Deux sortes dattaques : - dtourner une connexion rseau son avantage, et ventuellement pouvoir surfer sur Internet gratuitement ; - couter ce qui se passe sur le rseau pour voler des informations notamment. Les wardrivers utilisent les vulnrabilits du chiffrement WEP ainsi que la verbosit naturelle des protocoles mis en uvre dans 802.11b (Wifi aka Wireless Fidelity).

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

73

W/ Z
Warshalking Warshalking Le terme Warshalking dsigne le fait de tagger les lieux o les rseaux WiFi ont t dcouverts par wardriving. WDM WDM Wavelength Division Multiplexing Technique de multiplexage de plusieurs canaux sur une mme fibre optique par assignation dune longueur donde propre chaque canal. WEP WEP Wired Equivalent Privacy Protocole dvelopp pour le chiffrement des trames 802.11, sappuyant sur un chiffrement symtrique RC4 dont la longeur des clefs (dfinies statiquement) varient gnralement de 64 128 bits (2048 bits maximum). Cens fournir aux rseaux sans fils une intimit/protection comparable aux rseaux cabls, le WEP a dj montr de nombreuses faiblesses et de nouvelles solutions devraient le remplacer plus ou moins court terme (se reporter WPA ). Wi-Fi Wi-Fi Wireless Fidelity Technologie hertzienne normalise (norme 802.11) permettant dassurer une connectivit sans fil, avec un dbit max. de 11 Mb/s en version 802.11b et de 54 Mb/s en 802.11g. Sa porte est de 30 m environ en environnement bureau et jusqu 400 m en environnement ouvert. Cette technologie permet de se connecter internet et intranet sur les mmes principes quun rseau classique. WLAN WLAN Wireless LAN Rseaux locaux sans fils, normaliss sous la rfrence IEEE 802.11. WPA WPA Wi-Fi Protected Access Standard dvelopp par la Wi-Fi Alliance et visant amliorer la scurit des rseaux sans fil par introduction de mcanismes dauthentification, de confidentialit, dintgrit et de gestion de cls robustes. Alternative au WEP, propose par la Wi-Fi Alliance (3Com, Lucent, HP, Nokia, Sony, etc.). Bas sur TKIP, on protge les transferts sur le rseau sans fil en chiffrant chaque paquet de 10 Ko avec une nouvelle clef (mais lalgorithme de chiffrement demeure le mme que pour le WEP). WSDL WSDL Web Services Description Language Protocole dcrivant linterface les services Web. WWW WWW World Wide Web Littralement toile daraigne mondiale , est le rseau interface graphique dInternet. Compos de centaines de milliers de serveurs travers le monde, cest un systme distribu daccs linformation qui sappuie sur les principes de lhypertexte, du routage avec protocole IP et qui supporte les documents multimdias. WYSIWYG WYSIWYG What You See Is What You Get Ce que vous voyez est ce que vous obtenez . Technique permettant de reproduire limage exacte de la reprsentation cran. X.25 X.25 Recommandation de lUIT dfinissant des mcanismes de transmission de donnes commutation de paquets. Elle consiste dcouper les donnes en blocs assez courts pour les acheminer de la source la destination travers un lien virtuel unique appel circuit virtuel (commut ou permanent). Bidirectionnel, ce qui permet un contrle de flux sur lensemble de la chane de transmission. X509 X509 Norme de lUIT-T spcifiant un cadre de travail pour la certification de clefs publiques, et dfinissant entre autres un format de certificat. xDSL xDSL x Digital Subscriber Line Techniques numriques sur ligne tlphonique en cuivre (utilisation de frquences au-del des frquences vocales), permettant daugmenter le dbit de transmission. XKMS XKMS XML Key Management Specification Dfini par lIETF et le W3C, ce standard traite des services de gestion des cls et certificats utiliss par les applications lors dchanges par messages XML. XML XML eXtensible Markup Language Langage permettant de dcrire le contenu dune page Web indpendamment de sa prsentation. ZIP ZIP Zone Information Protocol Protocole sur les rseaux appletalk tablissant une coresspondance entre le nom dun rseau et un nom de zone. ZKP ZKP Zero knowledge proofs Dmarche o un demandeur prouve au vrificateur quil connait certaines information sans avoir les rvler.

Terme technique English Signification de lacronyme Description

74

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

3/C

Les organismes
3GPP Third Generation Partnership Project Groupe de normalisation de lUMTS ADAE Agence pour le Dveloppement de lAdministration lectronique Service interministriel plac auprs du premier ministre pour favoriser le dveloppement de systmes dinformation permettant de moderniser le fonctionnement de lAdministration. Ses missions principales : - contribuer la promotion et la coordination des initiatives, assurer leur suivi, procder leur valuation ; - apporter son appui aux administrations pour lidentification des besoins, la connaissance de loffre, la conception des projets. AFNOR Association Franaise de NORmalisation Cette association soccupe de grer tout ce qui est normalisation en France. AFNIC Association Franaise pour le Nommage de lInternet en Coopration Organisme officiel de gestion et dattribution des noms de domaine .fr . AFUTT Association Franaise des Utilisateurs du Tlphone et des Tlecommunications Reprsente les utilisateurs de produits et services de tlcommunications, est un interlocuteur des pouvoirs publics en charge des tlcommunications et des oprateurs. Elle est prsente sur tous les terrains concernant les tlcommunications, au niveau national et international. ARPA Advanced Research Project Agency Agence pour les projets de recherche avance du DoD amricain. ART Autorit de Rgulation des Tlcommunications Organisme de rgulation des services de tlcommunication en France. Mise en place le 5 janvier 1997 en France aprs louverture du secteur des tlcommunications une concurrence totale (loi du 26 juillet 1996), lART est une institution indpendante qui dispose de comptences propres et qui en partage dautres avec le ministre charg des tlcommunications. La rgulation consiste en lapplication, par lautorit comptente, de lensemble des dispositions juridiques, conomiques et techniques qui permettent aux activits de tlcommunication de sexercer librement. Elle travaille sur des grands chantiers tels que : le dveloppement des services mobiles ainsi que sur la concurrence effective et durable sur les marchs de la Boucle Locale et de laccs Internet. ATM-Forum Consortium de normalisation ATM, qui regroupe tous les constructeurs rseau concerns par ATM. Organisme de plus en plus complexe et politis. BCRCI Brigade Centrale de Rpression de la Criminalit Informatique Le BCRCI a comptence pour mener des enqutes judiciaires sur tout le territoire national. Au plan international, elle gre le Bureau central national dInterpol (BCN) pour la fraude informatique, constitue le point de contact central national dInterpol et participe aux travaux du Groupe de travail europen sur la criminalit informatique. 101, rue des Trois Fontanot 92000 Nanterre Tl. : 01 40 97 87 72, 01 40 97 83 12 CCI CyberCrimInstitut Association but non lucratif qui a vocation : - tudier toutes les formes de criminalit et les utilisations dviantes des nouvelles technologies de linformation et de la communication au sens le plus large ; - Informer et sensibiliser tous les acteurs des risques, menaces et vulnrabilits engendrs par les NTIC ; - Former les utilisateurs aux meilleures pratiques pour faire face ; - Communiquer et diffuser les informations disponibles dans ce domaine ; - Assurer la promotion des concepts et outils garantissant un meilleur environnement de scurit ; - Participer lamlioration du niveau de confiance et de scurit et contribuer parcourir le chemin vers une culture de scurit globale de la socit de linformation. CDEE Club de Dfense conomique des Entreprises Club rassemblant les Directeurs de la Scurit denviron 50 grandes entreprises. FT y adhre depuis peu. CELAR Centre lectronique de lArmement Centre de comptence de la DGA pour tout ce qui a trait aux technologies de lInformation et de la Communication CEN Comit Europen de Normalisation : organisme de normalisation dont les dcisions ont valeur dobligation au sein de la CEE ; traite les mmes domaines que lISO. CERT / A CERT pour lAdministration Centre de reporting destination des administrations franaises (dpendant de la DCSSI), le CERTA est charg dassister les organismes de ladministration mettre en place des moyens de protection et rsoudre les incidents ou les agressions informatiques dont ils sont victimes. Il constitue le complment indispensable aux actions prventives dj assures par la DCSSI et qui se situent plus en amont dans la dmarche de scurisation des systmes dinformation. Afin dassurer ces deux objectifs, 3 missions sont menes en parallle : - assurer une veille technologique ; - organiser la mise en place dun rseau de confiance ; - piloter la rsolution dun incident (si besoin en relation avec le rseau mondial des CERTs).

Organisme Signification de lacronyme Description

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

75

CERT / CC CERT Coordination Center Centre mondial de reporting des problmes de scurit Internet. Cr linitiative de la DARPA. CHEAr Centre des Hautes tudes de lArmement Institut dtudes, rattach la DGA. CICREST Commission Interministrielle de Coordination des Rseaux Et des Services de Tlcommunications pour la dfense et la scurit publique Cette commission labore et propose les rgles dont il doit tre fait application lorsquil y a lieu de tenir compte, pour la dfinition et la ralisation des rseaux et des services, dune part, et pour la fourniture des prestations de tlcommunications aux dpartements ministriels ainsi quaux entreprises ou organismes publics placs sous leur tutelle, dautre part, des besoins de la dfense nationale et de la scurit publique. Les exploitants de rseaux ouverts au public autoriss en application de larticle L. 33-1 du code des postes et tlcommunications, les fournisseurs du service tlphonique au public autoriss en application des dispositions de larticle L. 34-1 et les fournisseurs de services de tlcommunications au public autoriss en vertu des dispositions des articles L. 34-2, L. 34-3 et L. 34-4, premier alina, du code des postes et tlcommunications apportent, en tant que de besoin, dans le cadre des missions inscrites leur cahier des charges, leur concours aux tudes et aux travaux de la CICREST. CIGREF Club Informatique des Grandes Entreprises Franaises A pour mission de promouvoir lusage des systmes dinformation comme facteur de cration de valeur et de comptitivit pour lentreprise. CISSI Commission Interministrielle pour la Scurit des Systmes dInformation A pour vocation dharmoniser la conception des programmes dquipements et de proposer des solutions nouvelles. Elle est prside par un dlgu et rassemble des reprsentants des membres de diffrents ministres. Au nombre de ses missions : - Fait apprcier le niveau de scurit des systmes en service, value leur vulnrabilit et recommande les limites de leur utilisation ; - Est informe, sous contrle des ministres responsables, des oprations relatives la protection des systmes dinformation en projet dans les dpartements ministriels ; - Oriente les recherches, tudes et travaux lancs en France en vue de rpondre aux besoins exprims par les dpartements ministriels ; - Inventorie les organismes sous tutelle et sefforce didentifier les entreprises ou organismes privs dont lactivit justifierait, dans lintrt national, que leurs systmes dinformation soient protgs. CLUSIF Club de la Scurit Informatique des Systmes dInformation Franais Association ayant pour but de sensibiliser les entreprises franaises face au problme

de la scurit informatique en organisant notamment des sminaires autour de ce sujet. 2, rue de la Chausse dAntin - 75009 Paris Tl. : 01 42 47 92 28 CNCIS Commission Nationale de Contrle des Interceptions de Scurit (Autorit Administrative Indpendante) Est charge de procder une apprciation de la lgalit des motifs de demande dinterceptions, et aussi dautoriser ou de refuser les coutes de lignes tlphoniques demandes par la police hors de tout cadre judiciaire pour lutter contre le terrorisme, le crime organis, dfendre la scurit nationale ou combattre lespionnage. Une coute tlphonique doit, depuis la loi no. 91-646 du 10 juillet 1991, passer par un juge et tre examine par la Commission des interceptions de scurit (CNCIS). Messagerie lctronique pas concerne. COG Component Obsolescence Group Association grant les obsolescences de composants lectroniques. DARPA Defense Advanced Research Project Agency Nouveau nom du projet ARPA, conjoint aux ministres de la Dfense et de lducation (USA). DCSSI Direction Centrale de la Scurit des Systmes dInformation Direction du SGDN charge de la politique gouvernementale dans le domaine de la Scurit des Systmes dInformation. Principales missions : - Contribuer la dfinition interministrielle et lexpression de la politique gouvernementale en matire de scurit des systmes dinformation ; - Assurer la fonction dautorit nationale de rgulation pour la SSI en dlivrant les agrments, cautions ou certificats pour les systmes dinformation de ltat, les procds et les produits cryptologiques employs par ladministration et les services publics, et en contrlant les centres dvaluation de la scurit des technologies de linformation (CESTI) ; - valuer les menaces pesant sur les systmes dinformation, donner lalerte, dvelopper les capacits les contrer et les prvenir (CERTA) ; - Assister les services publics en matire de SSI ; - Dvelopper lexpertise scientifique et technique dans le domaine de la SSI, au bnfice de ladministration et des services publics. - Former et sensibiliser la SSI (Centre de formation la scurit des systmes dinformation - CFSSI). Fort dIssy les Moulineaux 18, rue du Docteur Zamenhof 92131 Issy-les-Moulineaux Cedex Standard : 01 41 46 37 00 DDSC Direction de la Dfense et de la Scurit Civiles Coordination des fonctions tatiques dans les domaines de la Dfense et de la Scurit civiles. Une des Direction du MISILL.

Organisme Signification de lacronyme Description

76

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

C/ I
DG XIII Direction Gnrale n13 Direction Gnrale charge des tlcoms et de la scurit informatique. Corps de police chelle europenne. Rue de la loi 200 BU 29 4/68 B 1049 Bruxelles Tl. : 32 2 296 85 35 ou 32 2 296 35 91 DGA Dlgation Gnrale pour lArmement Organisme du Ministre de la Dfense charg du dveloppement des programmes darmement, au profit des forces armes. DoD Department of Defence (USA) Ministre de la Dfense amricain. DSN Direction de la Sret Nationale Par rapport la BCRCI, ce service du Ministre de lIntrieur na pas vocation de faire de la procdure judiciaire mais plutt de la prvention et du conseil en cas dincident. Cest un service spcialis dans ltude et le conseil en matire de risque informatique. DSSI Directoire de la Scurit des Systmes dInformation Charg de proposer au premier ministre la politique suivre en matire de scurit des systmes dinformations et den contrler lapplication. Il tait prsid par le secrtaire gnral du gouvernement et est compos de reprsentants des grands ministres. DST Direction de la Surveillance du Territoire Elle a pour mission de rechercher et prvenir sur le territoire franais les activits inspirs, engags et soutenus par des puissances trangres et de nature a menacer la scurit du pays. Elle dispose dune section informatique charge des enqutes judiciaires lorsque les attaques attentent la scurit nationale ou aux secteurs de pointe de lindustrie franaise. La DST a eu galement un rle de sensibilisation auprs des entreprises ou dans les grandes coles dinformatique. 1, rue Nlaton 75015 Paris (mtro Bir Hakeim) Depuis juillet 1985. Tl. : 01 40 57 55 34 ETSI European Telecommunications Standard Institute Organisme europen de normalisation pour les tlcommunications (Sophia Antipolis). Eurescom European institute for Research and Strategic Studies in telecommunications European institute for Research and Strategic Studies in telecommunications. FCC Federal Communications Commission Organisme de rgulation des services de tlcommunication aux USA. GIC Groupement Interministriel de Contrle Considr comme le central dcoute du gouvernement. 51, Bd Latour-Maubourg Paris dans lhtel des Invalides. GITEP Groupement des Industries de Tlcommunications et dlectronique Professionnelle Syndicat professionnel rassemblant les entreprises de droit franais exerant leurs activits dans le domaine des Technologies de lInformation, de la Communication et des Services associs (TICS). Le domaine des TICS recouvre les rseaux, systmes, matriels et logiciels : de tlcommunication y compris la radio ainsi que de transmission, diffusion, traitement de linformation, et les services affrents. Membre de lEICTA (European Information, Communications and Consumer Electronics Technology Industry Association) et de la FIEEC (Fdration des Industries lectriques, lectroniques et de Communication). Le GITEP TICS a pour mission de fdrer les positions de lIndustrie des tlcommunications. 17, rue Hamelin 75783 Paris Cedex 16 Tl. : 01 45 05 70 64 GITSIS Groupement Interprofessionnel des Techniques de Scurit des Informations Sensibles HCFDC Haut Comit Franais pour la Dfense Civile Association loi 1901 participant la rflexion sur la doctrine, lorganisation et les techniques de la France en matire de dfense et de scurit civiles. FT y adhre depuis 2003. IANA Internet Assigned Number Authority Organisme attribuant ladressage IP et les protocoles TCP/UDP sur internet. IEEE Institute for Electrical and Electronics Engineers Association dingnieurs amricains ayant conduit la normalisation des LAN, MAN. IETF Internet Engineering Task Force Organisme charg du dveloppement des protocoles dinterconnexion de rseau bass sur TCP/IP, dont Internet. IHEDN Institut des Hautes tudes de la Dfense Nationale Institut dtudes, rattach aux services du Premier Ministre, plac sous la tutelle du Premier Ministre qui en fixe les missions : - donner dans des sessions nationales ou rgionales, des personnalits franaises des diffrents secteurs dactivit, une information approfondie sur les grands problmes qui intressent la Dfense ; - soutenir, dans ces domaines, lactivit de ces personnalits devenues anciens auditeurs ; - conduire ou susciter des tudes ou des recherches concernant la Dfense ;

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

77

- apporter son concours, dans les domaines de la Dfense, aux universits et organismes ayant vocation lenseignement, linformation, aux tudes et aux recherches ; - recevoir les Instituts et Collges trangers en vue de les informer sur la politique de Dfense de la France. IHESI Institut des Hautes tudes de la Scurit Intrieure Institut dtudes, rattach au MISILL. Son travail : - Identifier les diffrentes formes de risques ou de menaces, valuer leur impact sur lopinion, analyser les rponses publiques a pour mission de runir des responsables de haut niveau appartenant la fonction publiqueet aux autres secteurs dactivit de la nation, en vue dapprofondir leurs connaissances en matire de scurit intrieure par ltude en commun des problmes qui se posent dans ce domaine ; - Conduire des tudes et des recherches concernant la scurit intrieure et cooprer, cet effet, avec les universits, les tablissements denseignement suprieur et de recherche, ainsi quavec les organismes concourant la scurit. Dpartement Ingnierie et conseil Tl. : 01 53 68 20 07 - 01 53 68 20 08 INTERNIC INTERnet Network Identification Center Organisme officiel de gestion et dattribution des noms de domaine de types gnriques ( .com , .net , .org , ). ISO International Standard Organization Organisation de normalisation regroupant 3 comits : TC (Technical Comittee), SC (Sub comittee), et de WG (Working Group). NSA National Security Agency No Such Agency et pourtant la NSA existe. Cre en 1952, cette agence est charge de lespionnage des tlcommunications et de la mise au point des systmes de codage et de cryptage destins garantir la confidentialit des messages du gouvernement, des diplomates et des militaires amricains. Elle a galement dvelopp un rseau dinterception radiolectrique mondial baptis chelon sappuyant sur un maillage lectronique plantaire, supervis par le NMCC (National Military Command Center). Le rseau Echelon dispose dordinateurs nomms Dictionaries qui nutilisent pas de listes de mots-cls, mais des textes dexemples dont ils extraient des n-grammes (suite de n caractres) significatifs et des relations mathmatiques entre ces n-grammes, qui les rendent indpendants du langage et du vocabulaire. MISILL Ministre de lIntrieur, de la Scurit Intrieure et des Liberts Locales Nouveau nom du Ministre de lIntrieur franais. OASIS Oganization for the Advancement of Structured Information Standards Forum de standardisation des technologies du commerce lectronique.

OCLCTI Office Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de la communication Cet office, rattach la sous-direction des Affaires conomiques et financires de la direction centrale de la Police Judiciaire, est charg danimer et de coordonner la mise en uvre oprationnelle de la lutte contre les auteurs dinfractions spcifiques la criminalit lie ces nouvelles technologies et de procder, la demande de lautorit judiciaire, tous actes denqute et de travaux techniques dinvestigations en assistance aux services chargs denqutes de police judiciaire sur les infractions dont la commission est facilite par ou lie lutilisation des technologies de linformation et de la communication, sans prjudice de la comptence des autres offices centraux de police judiciaire. OSSIR Observatoire de la Scurit des Systmes dInformation & des Rseaux LOSSIR est une association du type loi 1901 existant depuis 1996 qui regroupe les utilisateurs intresss par la scurit des systmes dinformation et des rseaux informatiques. Thmes : - scurisation du poste de travail, antivirus et firewall personnels ; - gestion des mises jour, gestion de parc ; - journalisation, tableau de bord, gestion de la scurit ; - solution globale antivirus (client, serveur, infrastructure) ; - protection du primtre de lentreprise ; - intgration de solution antivirus dans la messagerie ; - gestion des accs distants, des utilisateurs nomades ; - organisation de gestion de crise (moyens et procdures), exprience vcue ; - spywares, chevaux de Troies, fuite dinformation ; - enjeux socitaux, juridiques, conomiques des infections informatiques ; - techniques dinfection et consquences, propagation des vers, polymorphisme RIPE NCC Rseaux IP Europens - Network Coordination Center Organisme officiel dattribution et de gestion des adresses IP en Europe. RIR Regional Internet Registries Dsigne les 4 autorits (ARIN, APNIC, LACNIC, RIPE NCC) qui grent ladressage IP sur Internet dans le monde. SEFTI Service dEnqute sur les Fraudes aux Technologies de lInformation Service spcialis la lutte contre la criminalit informatique dpendant de la Police judiciaire de la Prfecture de Police de Paris. 163, avenue dItalie 75013 Paris Tl. : 01 40 79 67 50 SGDN Secrtariat Gnral de la Dfense Nationale Organisme dpendant du Premier Ministre, charg de la Politique et de la Scurit de Dfense. Dans le cadre de la politique dfinie par le Gouvernement, il veille la cohrence des actions entreprises en matire de scurit des systmes dinformation. Pour ce faire,

Organisme Signification de lacronyme Description

78

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

I /W
il dispose du service central de la scurit des systmes dinformation. 51, boulevard de Latour-Maubourg 75007 Paris Tl. : 01 44 18 80 11 SIMAVELEC Syndicat des Industries des Matriels Audiovisuels lectroniques Syndicat franais regroupant les contructeurs de matriels audiovisuels. SIOTEL Syndicat International des Oprateurs en TELcommunications tude et dfense des droits et des intrts matriels et moraux tant collectifs quindividuels des oprateurs et socits de tlcommunications. Le Siotel fournit ces oprateurs et socits le moyen de se consulter et de collaborer entre eux. SPOTI Services des Programmes dObservation, de Tlcommunications et dInformation Service de la DGA pilotant tous les programmes rseaux et tlcom. UIT Union Internationale des Tlcoms Organisme de normalisation, regroupant les oprateurs de tlcommunications au niveau mondial ; dlivre des recommandations (avis) ; jusquen 1993, tait compos de deux entits distinctes (CCITT et CCIR) aujourdhui regroupes au sein de lUIT (UIT-R Radiocommunications et UIT-T Tlcommunications). W3C WorldWide Web Consortium Oganisme officiellement charg de la normalisation de tout ce qui concerne le Web (Internet). WECA Wireless Ethernet Compatibility Alliance Organisme charg de maintenir linteroprabilit entre les matriels 802.11. WS-I Web Services Interoperability Organization Forum de normalisation des services Web.

D i r e c t i o n d e l I n n o v a t i o n , d e l a R e c h e r c h e e t d e s N o u v e l l e s Te c h n o l o g i e s

79