Annexe 1 : Scurit Considrations gnrales : Scurit - Introduction la scurit informatique

Avec le dveloppement de l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur systme d'information leurs partenaires ou leurs fournisseurs, il est donc essentiel de connatre les ressources de l'entreprise protger et de matriser le contrle d'accs et les droits des utilisateurs du systme d'information. Il en va de mme lors de l'ouverture de l'accs de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant permettre aux personnels de se connecter au systme d'information partir de n'importe quel endroit, les personnels sont amens transporter une partie du systme d'information hors de l'infrastructure scuris de l'entreprise. Introduction la scurit Le risque en terme de scurit est gnralement caractris par l'quation suivante :

La menace (en anglais threat ) reprsente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnrabilit (en anglais vulnerability , appele parfois faille ou brche) reprsente le niveau d'exposition face la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prvention de la menace. Les contre-mesures mettre en oeuvre ne sont pas uniquement des solutions techniques mais galement des mesures de formation et de sensibilisation l'intention des utilisateurs, ainsi qu'un ensemble de rgles clairement dfinies. Afin de pouvoir scuriser un systme, il est ncessaire d'identifier les menaces potentielles, et donc de connatre et de prvoir la faon de procder de l'ennemi. Le but de ce dossier est ainsi de donner un aperu des motivations ventuelles des pirates, de catgoriser ces derniers, et enfin de donner une ide de leur faon de procder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions. Objectifs de la scurit informatique Le systme d'information est gnralement dfini par l'ensemble des donnes et des ressources matrielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le systme d'information reprsente un patrimoine essentiel de l'entreprise, qu'il convient de protger. La scurit informatique, d'une manire gnrale, consiste assurer que les ressources matrielles ou logicielles d'une organisation sont uniquement utilises dans le cadre prvu. La scurit informatique vise gnralement cinq principaux objectifs :

L'intgrit, c'est--dire garantir que les donnes sont bien celles que l'on croit tre ; La confidentialit, consistant assurer que seules les personnes autorises aient accs aux ressources changes ; La disponibilit, permettant de maintenir le bon fonctionnement du systme d'information ; La non rpudiation, permettant de garantir qu'une transaction ne peut tre nie ; L'authentification, consistant assurer que seules les personnes autorises aient accs aux ressources. La confidentialit La confidentialit consiste rendre l'information inintelligible d'autres personnes que les seuls acteurs de la transaction. L'intgrit Vrifier l'intgrit des donnes consiste dterminer si les donnes n'ont pas t altres durant la communication (de manire fortuite ou intentionnelle). La disponibilit L'objectif de la disponibilit est de garantir l'accs un service ou des ressources. La non-rpudiation La non-rpudiation de l'information est la garantie qu'aucun des correspondants ne pourra nier la transaction. L'authentification L'authentification consiste assurer l'identit d'un utilisateur, c'est--dire de garantir chacun des

correspondants que son partenaire est bien celui qu'il croit tre. Un contrle d'accs peut permettre (par exemple par le moyen d'un mot de passe qui devra tre crypt) l'accs des ressources uniquement aux personnes autorises. Ncessit d'une approche globale La scurit d'un systme informatique fait souvent l'objet de mtaphores. En effet, on la compare rgulirement une chane en expliquant que le niveau de scurit d'un systme est caractris par le niveau de scurit du maillon le plus faible. Ainsi, une porte blinde est inutile dans un btiment si les fentres sont ouvertes sur la rue. Cela signifie que la scurit doit tre aborde dans un contexte global et notamment prendre en compte les aspects suivants :

La sensibilisation des utilisateurs aux problmes de scurit La scurit logique, c'est--dire la scurit au niveau des donnes, notamment les donnes de l'entreprise, les applications ou encore les systmes d'exploitation. La scurit des tlcommunications : technologies rseau, serveurs de l'entreprise, rseaux d'accs, etc. La scurit physique, soit la scurit au niveau des infrastructures matrielles : salles scurises, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels, etc. Mise en place d'une politique de scurit La scurit des systmes informatiques se cantonne gnralement garantir les droits d'accs aux donnes et ressources d'un systme en mettant en place des mcanismes d'authentification et de contrle permettant d'assurer que les utilisateurs des dites ressources possdent uniquement les droits qui leur ont t octroys. Les mcanismes de scurit mis en place peuvent nanmoins provoquer une gne au niveau des utilisateurs et les consignes et rgles deviennent de plus en plus compliques au fur et mesure que le rseau s'tend. Ainsi, la scurit informatique doit tre tudie de telle manire ne pas empcher les utilisateurs de dvelopper les usages qui leur sont ncessaires, et de faire en sorte qu'ils puissent utiliser le systme d'information en toute confiance. C'est la raison pour laquelle il est ncessaire de dfinir dans un premier temps une politique de scurit, dont la mise en oeuvre se fait selon les quatre tapes suivantes : Identifier les besoins en terme de scurit, les risques informatiques pesant sur l'entreprise et leurs ventuelles consquences ; laborer des rgles et des procdures mettre en oeuvre dans les diffrents services de l'organisation pour les risques identifis ; Surveiller et dtecter les vulnrabilits du systme d'information et se tenir inform des failles sur les applications et matriels utiliss ; Dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une menace ; La politique de scurit est donc l'ensemble des orientations suivies par une organisation ( prendre au sens large) en terme de scurit. A ce titre elle se doit d'tre labore au niveau de la direction de l'organisation concerne, car elle concerne tous les utilisateurs du systme. A cet gard, il ne revient pas aux seuls administrateurs informatiques de dfinir les droits d'accs des utilisateurs mais aux responsables hirarchiques de ces derniers. Le rle de l'administrateur informatique est donc de s'assurer que les ressources informatiques et les droits d'accs cellesci sont en cohrence avec la politique de scurit dfinie par l'organisation. De plus, tant donn qu'il est le seul connatre parfaitement le systme, il lui revient de faire remonter les informations concernant la scurit sa direction, ventuellement de conseiller les dcideurs sur les stratgies mettre en oeuvre, ainsi que d'tre le point d'entre concernant la communication destination des utilisateurs sur les problmes et recommandations en terme de scurit. La scurit informatique de l'entreprise repose sur une bonne connaissance des rgles par les employs, grce des actions de formation et de sensibilisation auprs des utilisateurs, mais elle doit aller au-del et notamment couvrir les champs suivants : Un dispositif de scurit physique et logique, adapt aux besoins de l'entreprise et aux usages des utilisateurs ; Une procdure de management des mises jour ; Une stratgie de sauvegarde correctement planifie ; Un plan de reprise aprs incident ; Un systme document jour ; Les causes de l'inscurit On distingue gnralement deux types d'inscurits :

l'tat actif d'inscurit, c'est--dire la non connaissance par l'utilisateur des fonctionnalits

du systme, dont certaines pouvant lui tre nuisibles (par exemple le fait de ne pas dsactiver des services rseaux non ncessaires l'utilisateur)

l'tat passif d'inscurit, c'est--dire la mconnaissance des moyens de scurit mis en place, par exemple lorsque l'administrateur (ou l'utilisateur) d'un systme ne connat pas les dispositifs de scurit dont il dispose. (Source : http://www.commentcamarche.net/secu/secuintro.php3, dcembre 2007)

Annexe 2 : La scurit du rseau local :

Source : Informatique applique la gestion, Jolivet et Reboul, Dunod 1995, t2, p 309.

Annexe 3 : La scurit :

Source : Informatique applique la gestion, Jolivet et Reboul, Dunod 1995, t1, p 83.

Source : Informatique applique la gestion, Jolivet et Reboul, Dunod 1995, t1, p 85.

Annexe 4 : La scurit de la navigation :

Le safe-hex : comment surfer en scurit ?

Cette section est un rsum de ce qu'il est recommand de respecter en permanence, et s'adresse avant tout aux utilisateurs de Windows XP. Si vous respectez la lettre l'ensemble de ces conseils, qui forment ce que l'on appelle le safe hex , vous rduirez au maximum (mais pas totalement car cela est impossible) les risques concernant votre ordinateur et votre vie prive. Car contrairement ce que l'on pourrait croire, la plupart des virus sont faciles viter pour peu que l'on respecte quelques rgles lmentaires.

Armurerie et infirmerie de base

Procurez-vous un antivirus, mettez-le jour et configurez-le. Faites une analyse systme complte immdiatement aprs l'installation, puis procdez une vrification totale du systme rgulirement (sans oublier au pralable d'effectuer la mise jour). Sachez qu'il existe des antivirus gratuits. Il existe aussi des antivirus en ligne, mais qui ne dispensent en aucune manire l'installation d'un antivirus logiciel (qui, lui, assure une protection permanente). Gardez bien l'esprit qu'aucun antivirus n'est parfait, qu'il lui arrive de se tromper et qu'il doit tre considr comme le dernier rempart, et non le premier, dans toute politique de scurit. L'antivirus constitue en quelque sorte l'aspect rpressif, alors que toutes les mesures qui suivent constituent l'aspect prventif, et il n'est indispensable que dans l'ventualit extrmement improbable o un virus russirait passer travers toutes ces barrires prventives. Il faut savoir que certains virus sont capables de dsactiver des antivirus. Mieux vaut donc ne pas se reposer uniquement sur ces derniers... Procurez-vous un pare-feu, installez-le avant la toute premire connexion Internet et configurez-le. Beaucoup de virus se propagent directement via le rseau. Si vous n'activez pas de pare-feu, il peu suffire de quelques minutes pour vous faire infecter aprs vous tre connect Internet. Comme pour les antivirus, il existe des parefeu gratuits tel que Kerio qui est un excellent produit. Procurez-vous un anti-spyware, mettez-le jour, et procdez une analyse du systme rgulirement (sans oublier la mise jour pralable). Ad-Aware SE et Spybot S&D sont deux freewares rputs et franciss (pour Ad-Aware SE, un patch est disponible ici) dont l'utilisation des deux la fois est conseille. Utilisez Windows Update, service en ligne de Microsoft (accessible uniquement depuis Internet Explorer) permettant de mettre jour Windows et les logiciels intgrs (Internet Explorer et Outlook Express notamment). Normalement Windows est dj configur pour faire ces mises jour automatiquement. Sinon vrifiez rgulirement l'arrive de nouvelles mises jour (en vous abonnant par exemple un service d'alerte srieux, tel que celui du site FrSIRT).

Configuration de Windows

Crez un compte administrateur protg par mot de passe pour le propritaire ou responsable de l'ordinateur et un compte limit pour chacun des autres utilisateurs, mme si vous tes seul utiliser Windows. En principe, il est recommand de n'utiliser le compte administrateur uniquement pour administrer l'ordinateur (configuration de Windows, installation de logiciels).

Dans les options des dossiers (menu "Outils" dans n'importe quel dossier), cochez la case "Afficher les fichiers et dossiers cachs" et dcochez les cases "Masquer les extensions des fichiers dont le type est connu" et "Masquer les fichiers protgs du systme d'exploitation (recommand)". Fates ouvrir avec Notepad (le bloc-notes) les fichiers dont les extensions sont hta, eml, js, jse, vbe et vbs. Pour cela, allez dans le menu "Outils" dans n'importe quel dossier puis dans "Options des dossiers", onglet "Types de fichiers". L, cliquez sur le type de fichier recherch, puis sur le bouton "Modifier". Recherchez alors le programme Notepad pour l'associer son ouverture. Ces extensions reprsentent des fichiers de scripts qui, excuts par mgardes et s'il s'agit de programmes malicieux, peuvent endommager votre ordinateur. Renseignez-vous sur les programmes lancs au dmarrage de Windows, et ne laissez dmarrer que les programmes que vous connaissez et qui vous sont utiles, par exemple grce au petit utilitaire Startup Control Panel qui rajoutera une icne dans le panneau de configuration.

Courrier lectronique

Ne donnez jamais votre vritable adresse dans un forum de discussion, en particulier sur Usenet. Des robots au service des spammeurs, ainsi que certains virus, sont programms pour rcolter toute adresse tranant sur les forums, pour ensuite vous bombarder de spam ou de courriel vrol. N'ouvrez jamais de fichiers joints d'un expditeur inconnu. Une des mthodes les plus courantes de propagation pour un virus est de s'envoyer par fichiers joints toutes les adresses que le virus a russi se procurer. N'ouvrez un fichier joint d'un expditeur connu uniquement si vous savez que vous attendez un fichier joint de cet expditeur. Si vous n'avez pas t prvenu, ne l'ouvrez pas et demandez confirmation auprs de l'expditeur qu'il vous a bien envoy un fichier joint. Ne cliquez jamais sur un lien vous proposant de vous dsabonner des messages publicitaires. Ne saisissez jamais de donnes personnelles dans des formulaires arrivant par courriel, et ne cliquez jamais sur un lien l'intrieur d'un courriel renvoyant vers le site d'un service financier (tapez toujours et uniquement la main l'adresse d'un tel site dans la barre d'adresse de votre navigateur). Ignorez les messages d'expditeurs inconnus vous signalant que vous avez peut-tre un virus et vous donnant des instructions pour l'liminer. Il s'agit trs probablement d'un hoax, c'est dire un canular, et qui peut dans certains cas faire beaucoup de dgts en vous demandant de supprimer des fichiers systmes indispensables au bon fonctionnement de Windows (on appelle a alors un viroax ). Le mieux est de s'informer sur des sites spcialiss et rputs, tel que Secuser Dans votre client de messagerie, dsactivez le JavaScript et rglez le logiciel pour qu'il n'affiche pas le corps des messages en HTML. Si vous avez des donnes sensibles changer, le meilleur moyen d'assurer la confidentialit de vos changes est d'utiliser un systme de cryptographie 128 bits cl publique, dont GPG (issu de PGP) reprsente la solution libre et gratuite.

Logiciels

Ne tlchargez jamais de fichiers excutables ni de cracks via les rseaux d'changes peer-to-peer (Kazaa, eMule, etc.). Lire tous les points suivants pour savoir pourquoi. Ne tlchargez jamais un logiciel sur un site inconnu (en particulier sur un site personnel). Tlchargez-le directement sur le site de l'auteur. Et ce, pour deux raisons. Premirement, comment faire confiance un obscur site trouv par moteur de recherche ? Le logiciel propos en tlchargement peut trs bien avoir t modifi pour y mettre n'importe quoi; il s'agit peuttre mme directement d'un virus ou d'un cheval de Troie ! Deuximement, mme si le site est honnte, il se peut (c'est mme trs souvent le cas) que le logiciel propos en tlchargement ne corresponde pas la dernire version (voir point suivant). Assurez-vous que vous tes en possession de la dernire version de vos logiciels (en allant vrifier sur le site de l'auteur ou dans la partie approprie du logiciel). Si ce n'est pas le cas, faites immdiatement une mise jour. Ceci est important car une ancienne version d'un logiciel peut avoir une ou plusieurs failles de scurit, exploitables par des virus par exemple. Il arrive souvent de devoir faire des mises jour de logiciel non en raison d'une amlioration des fonctionnalits du logiciel, mais en raison de la prsence d'une faille exploitable et donc prsentant un risque majeur pour la scurit. Privilgiez les logiciels libres, qui sont rputs pour leur meilleur scurit et leur absence totale de mouchard et de publicit. Le navigateur et le client de messagerie sont deux des logiciels les plus sensibles du point de vue de la scurit.

Mots de passe

Ne faites jamais enregistrer un mot de passe lorsqu'un logiciel vous le demande. Choisissez un mot de passe ayant au minimum huit caractres. Certains outils la disposition des pirates utilisent la force brute, c'est dire essayent toutes les possibilits une par une. Avec la puissance des machines actuelles, il faudrait peu de temps pour trouver un mot de passe de moins de huit caractres. N'utilisez jamais un mot qui existe comme mot de passe (aucun mot du dictionnaire, ni aucun nom propre), et ce pour la mme raison que le point prcdent. Ne communiquez vos mots de passe personne, mme des personnes de confiance, et ne notez vos mots de passe nul part (et surtout pas dans un fichier informatique). Si vous souhaitez protger des donnes sensibles par mot de passe, ne le fates jamais par un logiciel de traitement de texte (comme Word) ou d'archivage (comme WinZip). Tous ces logiciels sont extrmement faciles cracker et n'offrent strictement aucune protection. Utilisez la place un logiciel de cryptage offrant un niveau de cryptage d'au moins 128 bits (pas moins). Seul le cryptage 128 bits protge vraiment les donnes.

Vie prive sur Internet 9

10

Annexe 5 : protection contre les espiogiciels :

(Source : http://www.safer-networking.org/fr/spybotsd/index.html)

11

Annexe 5 : externalisation de la scurit informatique :

Deux interviews propos de la scurit et de son externalisation Nicolas Woirhaye : "La technologie n'est pas la seule rponse aux problmes de scurit." Le directeur du Cert-Lexsi, centre de veille sur la scurit, fait le point sur le traitement de ce problme par les entreprises. Les entreprises face la cybercriminalit , tel tait le thme d'une confrence qui s'est tenue lors du salon Infosecurity. A cette occasion, le directeur du Cert-Lexsi, un organisme spcialis dans l'tude de la cybercriminalit, Nicolas Woirhaye a livr quelques prconisations. 01net. : Parmi les risques pour les entreprises, vous citez les vols, les arnaques, les escroqueries, les sabotages ou encore les dnis de services. Quels moyens ont les entreprises pour s'en prmunir ? Nicolas Woirhaye : il faut d'abord arrter de croire que la technologie est la seule rponse et que la scurit n'est qu'une histoire de primtre. Beaucoup d'entreprises installent des produits qu'elles ne prennent mme pas la peine de configurer. Un exemple : un patron de PME dans le textile se retrouve avec une bote magique totalement prconfigure qui en plus sauvegarde les donnes. Or a ne rpondra pas sa problmatique. Ce qui compte pour lui, c'est sa base de clients. Il faut donc qu'il construise sa scurit autour de la base de donnes : la sauvegarder dans un lieu distant en cas d'incendie, etc. Est-ce que les services hbergs qui se multiplient sont une meilleure rponse ? En effet, la scurit as a service est une meilleure rponse. Il vaut mieux acheter des comptences que des botes. Mais souvent un patron de PME prfrera acheter une boite qu'il intgrera dans ses actifs plutt que de payer un service. Malheureusement, c'est aussi un problme de culture typique de la France. D'autre part, la scurit est beaucoup trop chre. C'est d'autant plus vrai pour les PME n'ont pas des moyens importants. D'ailleurs, pour un grand compte, mieux vaut investir dans l'embauche de deux ingnieurs cratifs plutt que dans des technologies coteuses et pas forcment appropries. On le sait, un grand nombre de fuites sont le fait d'employs, comment lutter contre ce type de malveillance ? La fuite d'information vient souvent d'employs indlicats, parfois mal licencis ou dont l'entreprise n'a pas su voir la dangerosit. Quand on veut, on trouve toujours le moyen de faire sortir un document de l'entreprise, car il y a une multitude de portes. Comme on ne peut pas mettre des verrous tous les niveaux, on peut utiliser la dissuasion, en disant que telle ou telle porte est protge. Quoi qu'il en soit, en gnral on arrive trouver d'o provient la fuite, car les salaris indlicats sont rarement des experts en informatique et ils ne savent pas cacher leurs traces. Propos recueillis par Stphanie Renault, 01net. Laurent Gondicart (Trend Micro) : "Les PME externalisent de plus en plus leur scurit" L'diteur lance un service hberg pour PME. Interview de son responsable business development EMEA. 01net. : Comme d'autres diteurs de scurit, TrendMicro lance une solution base sur le principe du software as a service , c'est--dire hberge et

12

administre distance. En quoi consiste-t-elle ? Laurent Gondicart : c'est une offre complte de services, destine aux entreprises de 25 1 000 salaris (1). La principale brique s'appelle IMHS (InterScan Messaging Hosted Security) Elle regroupe un antispam, un antivirus, un antiphishing et un antispyware. L'avantage est de permettre aux petites entreprises, qui n'ont pas les moyens d'investir dans la maintenance ou dans des infrastructures complexes, d'accder des solutions jusqu'alors rserves aux grandes socits. Ce service est propos sous forme d'un abonnement annuel. Le filtrage des e-mails peut tre ralis par un antispam gratuit. Pourquoi opter pour votre solution ? Notre solution filtre tous les e-mails en amont, avant qu'ils n'arrivent sur la passerelle de l'entreprise. Elle est couple avec un systme dit de rputation IP . Il s'appuie sur deux types de blacklists. La premire est classique puisqu'elle est base sur toutes les adresses IP reconnues comme tant utilises par des spammeurs. Si au bout de quatre heures il n'y a pas d'activit de spam nous librons une ou plusieurs adresses IP. La deuxime est dynamique : si nous constatons des activits anormales sur des noms de domaine pouvant tre exploits par des botnets [rseaux de PC contrls l'insu de leur utilisateurs par des pirates, NDLR], nous mettons temporairement de ct ce nom de domaine. Selon le cabinet d'tudes Gartner, le march du software as a service devrait progresser de 21 % en 2007. Cette croissance va-t-elle modifier votre activit ? Le software classique continuera d'exister. Mais nous observons une tendance chez les PME, ainsi que chez les grands comptes, se tourner de plus en plus vers l'externalisation car cette solution n'exige pas de maintenance et moins de comptences. Ces services de scurit distance gnreront 1 milliard de dollars dans les prochaines annes. L'objectif de TrendMicro est d'en capter 10 15 %. Trend Micro n'a pas t en mesure de nous communiquer le prix de son produit. (1) Pour 26 utilisateurs, IMHS cote entre 20,95 et 31,74 Euros : pour 1 000 utilisateurs, IMHS cote entre 11,34 euros et 17,19 euros. Propos recueillis par Philippe Richard , 01net. (Source : http://www.inforisque.fr/blog-inforisque/index.php?2007/11/26/565-deuxinterwiews-a-propos-de-la-securite-et-de-son-externalisation)

13

Annexe 5 : exemple dattaque par les fichiers PDF :

Des hackers russes s'infiltrent grce aux PDF

Un gang d'informaticiens serait l'origine d'une attaque massive utilisant la faille rcente du format PDF. La lecture des fichiers infects sous Windows XP et IE 7 permet d'installer un cheval de Troie.

Gilbert Kallenborn , 01net, le 30/10/2007

Symantec et F-Secure lancent l'alerte. Une attaque massive est en cours depuis plusieurs jours. La cible ? Les utilisateurs de fichiers PDF. La faille exploite ? Celle dcouverte par le chercheur Petko Petkov , il y a un mois, mettant en jeu la lecture d'un fichier PDF sous Windows XP ou 2003 et sous Internet Explorer 7 et permettant d'excuter un code malicieux. L'origine ? Un gang de hackers russes dnomm Russian Business Network, selon des spcialistes cits par Computerworld. Les pirates russes utilisent cette faille pour infiltrer un cheval de Troie au nom vocateur de pidief.a . Celui-l met hors de combat le pare-feu de Windows avant d'installer deux autres logiciels malveillants. Le poste est alors la merci des hackers, qui pourront voler des donnes confidentielles ou transformer l'ordinateur en machine zombie.

Mise jour recommande

Le fichier PDF infect est diffus massivement par e-mail et dont l'intitul, en anglais, fait penser une facture ou un document financier : your bill, invoice, statement, your credit report, your credit file, balance report, statement of retained earnings, etc. . Un correctif a t publi par Adobe le 22 octobre dernier, mais encore faut-il que les postes soient mis jour. Et il est particulirement recommand aux utilisateurs des anciennes versions d'Acrobat Reader de passer la version 8.1.1. (Source : http://www.01net.com/editorial/363798/des-hackers-russes-s-infiltrent-grace-aux-pdf/)

Annexe 6 : le risque couru en dplacement :

La mobilit accrot les risques pour les donnes de l'entreprise
Publi le 29 aot 2007 Les professionnels utilisateurs d'ordinateurs portables seraient plus enclins prendre des risques vis--vis de la scurisation des donnes. Ceux-ci passent notamment par les communications via e-mail.
Quoi de moins surprenant qu'une entreprise de scurisation de contenus soulignant le risque que reprsente la mobilit pour la scurit des informations confidentielles. Trend Micro, fournisseur d'antivirus et autres services de scurisation, a ralis une tude sur le comportement des "travailleurs mobiles" interrogeant 1 600 professionnels dans quatre pays. Il en ressort que ces derniers seraient plus mme de transmettre de l'information dite confidentielle via messagerie instantane ou courrier lectronique. Une pratique qui n'est bien sr pas sans risque pour la protection des donnes. Les comportements risque des "professionnels mobiles" Cette tendance se vrifie notamment aux tats-Unis o un peu moins de 60% des "travailleurs nomades" concdent avoir transmis des informations sensibles via messagerie lectronique, ce, hors du rseau d'entreprise. Globalement, ces professionnels utilisateurs d'ordinateurs portables seraient plus enclins ce type de communications risque comparativement aux utilisateurs d'appareils de bureau. De mme, les adeptes du mobile prsenteraient une plus forte inclinaison visiter des sites de rseaux sociaux et tlcharger des films, tout en tant connect leur rseau d'entreprise. Le Japon fait figure d'exception en enregistrant un nombre plus important de comportements " risque" pour les professionnels usant d'ordinateurs fixes. Un dfi pour la scurit des SI Paralllement, les utilisateurs de mobiles se montreraient plus conscients des menaces encourues sur le web telles le pharming et le phishing. Les professionnels amricains utilisateurs de PC portables seraient ainsi plus de 60% avoir soulign ces risques particuliers contre 50% seulement de leurs homologues adeptes de l'appareil de bureau. "Les comportements risque des professionnels sur mobiles constituent un dfi croissant pour les administrateurs IT et les spcialistes de la scurit", a indiqu Raimund Genes, responsable technique chez Trend Micro. Et d'ajouter, "l'usage invasif de l'Internet, combin la complexit de la protection contre les menaces inhrentes au web sera probablement le grand challenge de la scurit des entreprises pour la dcennie venir." (Atelier groupe BNP Paribas - 29/08/2007) (Source : http://www.atelier.fr/securite/10/29082007/La,mobilite,augmente,risque,protection,donnees,entreprise-35083-.html)

14

Annexe 7: le risque de la prise du contrle du PC, transform en zombie :

Les machines zombies prtes enterrer Internet
Les rseaux de PC contrls par des pirates, capables de faire tomber n'importe quel site, peuvent dsormais s'attaquer l'infrastructure du Web. Les recours juridiques restent faibles.
Gilbert Kallenborn , 01net, le 25/10/2007

Soyons clairs : les machines zombies (1), regroupes dans des rseaux appels botnets , permettent ds aujourd'hui de bloquer l'ensemble du rseau Internet de la plante. Aussi tonnante qu'elle puisse paratre, cette affirmation n'est pourtant qu'une simple dduction mathmatique. Avec 5 000 machines, il est possible de bloquer n'importe quel site dans le monde. Or il existe aujourd'hui des rseaux avec plusieurs millions, voire des dizaines de millions de zombies. Ils sont capables d'attaquer les rseaux backbones, voire mme le systme DNS , explique Guillaume Lovet, responsable de l'quipe antivirus chez Fortinet. Cette opinion est corrobore par l'un des fondateurs d'Internet lui-mme, Vinton Cerf, qui avait estim en fvrier 2007 que cette arme de morts-vivants tait constitue de plus de 100 millions d'ordinateurs. videmment, il y a peu de chance que l'ensemble du rseau Internet soit totalement bloqu un jour, car ce n'est dans l'intrt de personne, mme du cybercriminel le plus fou.

Des technologies peer to peer

Mais le problme, c'est que ces botnets sont de plus en plus sophistiqus et leur dmantlement de plus en plus difficile. Ainsi, au dbut de l'anne 2007, un botnet baptis Stormworm s'est diffus sur Internet, au travers d'un cheval de Troie cach dans des pourriels. Contrairement aux botnets classiques, celui-ci fonctionne de pair pair, sans serveur de contrle central, ce qui le rend particulirement rsistant. Le rseau Stormworm est toujours actif et personne ne sait combien d'ordinateurs ont t enrls , prcise Guillaume Lovet. Mieux : les cybercriminels n'ont mme plus besoin de faire appel une interaction humaine particulire pour propager leurs botnets. Avec le logiciel MPack, ils peuvent corrompre directement les serveurs Web les plus consults. L'utilisateur qui surfe sur les sites en question s'infecte alors automatiquement. Le logiciel est commercialis sur des forums russes underground pour environ 700 dollars. Ces botnets mettent les entreprises la merci de n'importe qui, car ces rseaux permettent de crer rapidement des attaques de dni de services, contre lesquelles il est difficile de se protger. La protection contre les dnis de services cote trs cher. Souvent, il est plus rentable de payer une ranon , explique Guillaume Lovet. Il est impossible de savoir combien d'entreprises paient d'ores et dj des ranons des cybercriminels. Il est probable que les banques et les sites d'ecommerce comptent parmi les premiers sollicits, car leur activit dpend normment du Web.

Les poursuites juridiques ne sont pas rentables

L'aspect juridique n'apporte pas de touche d'optimisme ce sombre tableau. Des lois spcifiques ont certes t votes dans la plupart des pays occidentaux, comme la LEN en France. Mais les malfaiteurs sont gnralement hors d'atteinte, car situs dans des pays relativement laxistes dans ce domaine, comme la Russie, la Chine ou les pays d'Europe de l'Est. Si un dlit informatique a des effets en France, le droit franais s'applique. Malheureusement, il est trs difficile d'aller chercher le dlinquant l'autre bout de la plante. Certes, il existe des accords cadres comme la convention de Budapest qui vise une coopration internationale, mais ils restent trop vagues. De plus, compte tenu des sommes en jeu, l'effort administratif n'est pas assez rentable pour justifier une telle poursuite , explique Grgory Tulquois, avocat senior chez DLA Piper. Rsultat : la plupart des dlits informatiques restent aujourd'hui impunis. Les malfrats du Web ont encore de beaux jours devant eux.

(1) Le plus souvent une machine zombie a t infecte par un virus de type cheval de Troie. Cet ordinateur peut alors tre contrl par un pirate, sans que son propritaire s'en aperoive.
(Source : http://www.01net.com/editorial/363229/les-machines-zombies-pretes-a-enterrer-internet/)

15

Annexe 8 : le risque de perte de confidentialit en fin de vie du PC :

Paul Dujancourt (Ontrack) : Avant de recycler les PC, il faut dtruire les donnes sensibles

De plus en plus, les entreprises confient leurs vieux PC des tiers. Le directeur d'Ontrack France rappelle les risques de ce recyclage.
Propos recueillis par Gilbert Kallenborn , 01net, le 28/08/2007

01net. : En quoi le recyclage des quipements informatiques reprsente-t-il un risque pour les entreprises ? Paul Dujancourt : Lorsqu'une entreprise se spare d'un quipement destin tre recycl, celui-ci est gnralement en tat de fonctionnement. Si l'on ne prend pas ses prcautions, cela revient distribuer librement ses donnes professionnelles et personnelles dans la nature. Les prestataires qui proposent des services de recyclage ne mettent pas rellement en avant cette question. Une entreprise qui n'est pas sensibilise court alors un vrai risque. Connaissez-vous un cas concret qui pourrait illustrer ce problme ? Je peux vous en citer un. Une entreprise s'est tourne un jour vers un prestataire spcialis pour recycler une vingtaine de PC. Ce prestataire devait naturellement effacer les donnes. L'entreprise n'a visiblement pas eu confiance puisqu'elle a finalement repris les quipements et nous a demand de certifier que l'effacement avait bien t effectu. Ce qui n'tait pas le cas. Quelle dmarche une entreprise doit-elle suivre pour se protger le mieux possible ? Si l'quipement est en bon tat, il peut tre reconditionn pour une nouvelle utilisation, soit dans un autre service, soit l'extrieur par l'intermdiaire d'une revente ou d'une donation. Il faut alors effacer durablement toutes les donnes sensibles des disques durs avec un formatage bas niveau. Cet effacement peut tre effectu par le service informatique de l'entreprise ou par un prestataire tiers au moyen de logiciels spcialiss qui rcrivent tous les secteurs d'un disque. C'est une opration qui peut prendre quelques heures, mais qui se fait de manire totalement automatise. Et si l'quipement est en fin de vie ? Dans ce cas, il sera dmantel. Les disques durs ne seront plus rutiliss et il faut soit les dmagntiser, soit les broyer. Cela prend beaucoup moins de temps que l'effacement durable, mais les outils sont relativement onreux. C'est une solution plutt utilise par des grands comptes ou propose par des prestataires spcialiss. Quelle que soit la situation - reconditionnement ou dmantlement -, si l'on dcide de passer par un prestataire tiers, il faut toujours penser rclamer une fiche de traabilit pour avoir confirmation de la destruction des donnes. Qu'en est-il des assistants mobiles tels que les PDA ou les smartphones ? L'effacement durable des donnes est alors plus compliqu. Si l'appareil peut tre branch sur un ordinateur et s'il se comporte comme un volume de donnes, on peut utiliser un logiciel de formatage. Sinon, on est un peu coinc et il n'y a pas de solution toute faite. Cela dit, les donnes qui figurent sur ce type d'appareil sont quand mme moins sensibles que celles que l'on peut trouver sur un PC.
(Source : http://www.01net.com/editorial/357218/paul-dujancourt-(ontrack)-avant-de-recycler-les-pc-il-faut-detruire-les-donnees-sensibles-/)

16

Annexe 9 : les logiciels de scurit parfois dangereux, eux aussi :

Les failles se multiplient dans les logiciels de scurit
Pare-feu, antispyware, protection de serveurs de fichiers, antivirus, tous ont droit actuellement leur lot de vulnrabilits.
Ludovic Nachury , 01net, le 23/08/2007

Symantec, Trend Micro, CheckPoint, ClamAV, tous sont censs vous proposer des outils protgeant votre informatique. Mais, ces derniers temps, ils ont surtout t occups corriger les failles de leurs propres logiciels. Chez Symantec , c'est l'Enterprise Firewall qui est concern. Configur d'une certaine faon, il permettrait un pirate de trouver un identifiant. Obtenir des informations sur l'identit des utilisateurs lui faciliterait alors la tche pour s'introduire sur les ordinateurs. Pour viter ce dsagrment, Symantec propose une mthode aux administrateurs pour scuriser le pare-feu. Des correctifs tlcharger Du ct de Trend Micro, les vulnrabilits sont encore plus graves, puisqu'elles permettraient, selon les spcialistes de Secunia, d'excuter du code malveillant. Le logiciel de protection des serveurs de fichiers ServerProtect est touch, de mme que l'antispyware de la socit japonaise. Trend Micro propose ses utilisateurs des patchs pour corriger les deux produits. Autres correctifs tlcharger, ceux de Zone Labs, la filiale de CheckPoint. L, la faille permet un pirate de remplacer les fichiers du pare-feu ZoneAlarm par ses propres fichiers pour, par exemple, s'assurer de la dsactivation de l'outil de scurit. Dernier tre touch, l'antivirus open source ClamAV (qui vient d'tre rachet par SourceFire). La vulnrabilit dcouverte permet ici de faire planter le logiciel. ClamAV a mis un correctif en ligne.
(Source : http://www.01net.com/editorial/356960/les-failles-se-multiplient-dans-les-logiciels-de-securite/)

La scurit du poste de travail informatique (13 pages)

http://www.reseaucerta.org/docs/cotecours/comm_securite.pdf

17

Annexe 10 : pour les sauvegardes volumineuses quotidiennes la synchronisation plutt que la copie :

18