III. POLITIQUE DE SECURITE
1. Généralités
Avec le développement de l'utilisation d'internet, de
plus en plus d'entreprises et des écoles ouvrent leur système
d'information (ensemble des moyens dont le fonctionnement fait appel, d'une
façon ou d'une autre, à l'électricité et
destinés à élaborer, traiter, stocker, acheminer et ou
présenter) à des utilisateurs externes (partenaires,
fournisseurs, membres de l'administration) au réseau local, il est dont
essentiel de connaître les ressources de l'entreprise à
protéger et de maîtriser le contrôle d'accès et les
droits des utilisateurs du système d'information. Il en va de même
lors de l'ouverture de l'accès de l'entreprise sur Internet.
Le système d'information représente un
patrimoine essentiel de l'entreprise, qu'il convient de protéger. La
sécurité informatique, d'une vue générale, consiste
à assurer que les ressources matérielles ou logicielles d'une
organisation sont uniquement utilisées dans le cadre prévu. La
sécurité vise généralement cinq objectifs :
Ø L'intégrité, autrement dit garantir que
les données sont bien celles que l'on croit être,
Ø La confidentialité, consistant à
assurer que les seules personnes autorisées aient accès aux
ressources qu'il s échangent,
Ø La disponibilité, permettant de maintenir le
bon fonctionnement du système d'information pour assurer un accès
permanant,
Ø La non répudiation, assurant la garantie
qu'aucune transaction ne peut être niée,
Ø L'authentification, visant la vérification de
l'identité des acteurs de la communication.
2. Vulnérabilité et les
attaques
Avec la libre circulation des informations et la haute
disponibilité de nombreuses ressources, les responsables doivent
connaître toutes les menaces successibles de compromettre la
sécurité du fait de la vulnérabilité de leur
réseau. Toute faiblesse dans un SI qui permet à un attaquant de
porter atteinte à l'intégrité de ce système,
c'est-à-dire à son fonctionnement normal, à la
confidentialité et l'intégrité des données qu'il
contient est appelée une vulnérabilité. Au fil des
années, la sécurité des SI devient un besoin absolue,
alors même que la complexité de ces systèmes
s'accroît, ils deviennent donc plus vulnérables aux menaces.
Figure 1 : Evolution
du risque en fonction de la vulnérabilité et de la
menace.
Cependant les organisations sont peu ou presque pas
protégées contre des attaques sur le réseau. Des raisons
démontrent pourtant bien cet état de vulnérabilité
des systèmes :
Ø La sécurité est onéreuse, les
entreprises n'ont pas souvent de budget attribué à ce domaine,
soulignant en parallèle la raison selon laquelle la
sécurité ne peut être fiable à 100% du fait des bugs
dans les applications, exploitables par les attaquants ;
Ø Les organisations attribue un degré de
priorité minime ou presque qu'inexistant à la
sécurité ;
Ø L'utilisation de la cryptographie qui a ses
faiblesses, avec des mots de passe pouvant être cassés ;
Ø L'attaque d'un système fiable par des
personnes abusant de leurs droits légitimes ;
Ø Faiblesses dues à la gestion et à la
configuration des systèmes ;
Ø Emergence de nouvelles technologies, et par là
même, de nouveaux points d'attaques.
Les attaques (n'importe quelles actions qui compromettent la
sécurité des informations) informatiques constituent aujourd'hui
l'un des fléaux de notre civilisation moderne. Il est régulier de
suivre que telle entreprise ou tel institut a essuyé de lourdes pertes
financières en raison d'une défaillance de la
sécurité de son système d'information. Par
conséquent les entreprises ne peuvent pas ignorer ces risques et se
croire à l'abri de telles épreuves sachant que les attaques ont
des buts précis qui visent des mécanismes de
sécurité précis très souvent
implémentés dans les réseaux :
· Interruption d'un service : vise la
disponibilité des informations,
· Interception des données : vise la
confidentialité des informations,
· Modification des données : vise
l'intégrité des informations,
· Fabrication des données : vise
l'authenticité des informations.
|