Etude pour la mise en place d'un système de paiement électronique dans une institution financière.

1.8 L'architecture Client / Serveur

De nombreuses applications fonctionnent selon l'environnement client/serveur, cela signifie que des machines clientes (des machines faisant partie du réseau) contactent un serveur, une machine généralement très puissante en termes de capacités d'entrée-sortie, qui leur fournit des services. Ces services sont des programmes fournissant des données telles que l'heure, des fichiers, une connexion, ...

Les services sont exploités par des programmes, appelés programmes clients, s'exécutant sur les machines clientes. On parle ainsi de client FTP, client de messagerie, ..., lorsque l'on désigne un programme, tournant sur une machine cliente, capable de traiter des informations qu'il récupère auprès du serveur (dans le cas du client FTP il s'agit de fichiers, tandis que pour le client messagerie il s'agit de courrier électronique).

Pour que deux ou plusieurs noeuds arrivent à se communiquer il est impératif de mettre en place un ou plusieurs modèles de communications. Ainsi, nous allons effectuer un passage en revue de ces dits modèles.

1.9 La sécurité du système d'Information (SI)

La mise en place de la sécurité su SI nécessite la connaissance complète de l'ennemi, et de ses méthodes. Puisque sécurité complète est illusoire, il est nécessaire de connaitre les risques pesants sur le SI afin d'imaginer les différents scénarios qui peuvent mener à la mise en danger du SI^8(*). Il conviendra donc à partir des risques d'appliquer les bonnes méthodes afin d'obtenir un niveau de sécurité en accord avec les besoins.

1.9.1 Définitions

La sécurité informatique se rapporte aux données du SI et aux transactions qui y sont effectuées.

La sécurité des systèmes informatiques couvre généralement les critères de base et fonctions associées^9(*) suivantes :

ü L'intégrité des ressources physiques et logiques (équipements, données, traitements, transactions, service) est relatif au fait qu'elles n'ont pas été détruites (altération totale) ou modifiées (altération partielle) à l'insu de leurs propriétaires tant de manière intentionnelle qu'accidentelle.

ü La confidentialité c'est la protection des données contre une divulgation non autorisée. Autrement dit, la confidentialité consiste à assurer l'accès aux ressources uniquement aux personnes autorisées.

ü La disponibilité d'une ressource est relative à la période de temps pendant laquelle le service offert est opérationnelle. Le système et les données sont accessibles et utilisables à la demande par une entité autorisée ;

ü L'identification et authentification peuvent être mises en oeuvre pour contribuer à réaliser des procédures de contrôle d'accès et des mesures de sécurité assurant la confidentialité et l'intégrité des données, la non-répudiation et l'imputabilité. L'identification et authentification des ressources et des utilisateurs permettent d'imputer la responsabilité de la réalisation d'une action à une entité.

ü La non-répudiation est le fait de ne pouvoir nier ou rejeter qu'un événement (action, transaction) a eu lieu. A ce critère de sécurité peuvent être associées les notions d'imputabilité ou encore d'auditabilité.

1.9.2 Approche globale de la sécurité informatique^10(*)

Il faut traiter la sécurité d'un système informatique en sa totalité, car il est inutile d'avoir une porte blindée dans sa maison et en même temps avoir les fenêtres ouvertes sur le monde extérieur^11(*).

Partant de cette idée, on doit donc aborder la sécurité dans son contexte global c'est-à-dire, on doit assurer les différents aspects de sécurité suivants :

1.9.2.1 La Sécurité Organisationnelle

ü Définir les rôles des différents acteurs : Qui fait quoi ?

ü Sensibiliser les utilisateurs aux problèmes de la sécurité

ü Intégrer le facteur sécurité dans tout projet informatique dès sa conception jusqu'à sa réalisation

ü Arrêter les procédures d'organisation et de mise en oeuvre de la sécurité

1.9.2.2 La sécurité physique et environnementale

ü Règles de sécurité des locaux qui abritent les serveurs sensibles et les équipements d'interconnexion : équiper ces locaux par des détecteurs d'incendie et par un système d'extinction automatique.

ü Verrouillage des locaux contre le vol du matériel.

ü Issue de secours dans les locaux

ü Accès permis seulement aux personnes autorisées (utiliser des clés spéciales ou une carte à puce pour contrôler les accès à la salle informatique)

1.9.2.3 La sécurité des accès

ü Sécurité des accès aux postes de travail et aux serveurs pour les utilisateurs et les administrateurs. L'accès doit être assuré par :

§ Nom utilisateur et mot de passe

§ Carte à puce : l'authentification par carte à puce est destinée à garantir l'identité d'une personne à assurer son identification via un code PIN et à protéger l'accès aux postes de travail par le biais d'un mot de passe dynamique (c'est-à-dire qu'il faut changer de temps en temps)

ü Classification des données selon leur confidentialité et leur appartenance,

ü Gestion des droits d'accès aux données et aux fonctionnalités des logiciels en fonction des profils des utilisateurs

1.9.2.4 La sécurité des réseaux

ü Assurer la sécurité des topologies LAN et WAN pour garantir la continuité de transmission des données à l'intérieur et à l'extérieur de l'entreprise,

ü Contrôler le flux des données entre le système d'information et le monde extérieur (c'est-à-dire l'Internet ou le WAN) pour éviter tout risque d'attaque (alors il faut installer serveur proxy avec un firewall)

ü Détecter les intrusions qui viennent de l'extérieur et les éviter au préalable,

ü Assurer la sécurité de transmission de données sur l'Internet en implantant des protocoles sécurisés (SSL (Secure Sockets Layer), IPsec, etc...) et en faisant le cryptage des messages.

1.9.2.5 La sécurité des serveurs

ü Classification des serveurs de l'entreprise (le serveur proxy doit être assez performant pour bien protéger le serveur de base de données),

ü Audit sécurité des configurations des serveurs sensibles,

ü Sécuriser les procédures d'exploitation et d'administration (avec des mots de passe et arrêter qui fait quoi)

1.9.2.6 La sécurité des données

ü Assurer une sauvegarde quotidienne et hebdomadaire des données,

ü Faire la sauvegarde sur des supports multiples,

ü Protéger les supports de sauvegarde, contre les incendies, dans une armoire ignifuge.

1.9.2.7 La sécurité énergétique

La sécurité énergétique est très importante quant au fonctionnement des équipements formant la plateforme technique. Il est recommandé d'équiper les armoires abritant les différents éléments par des onduleurs performants pour remédier aux petites coupures du courant ou aux chutes de la tension électrique. En revanche, pour les coupures de longue durée, il faut prévoir l'installation d'un groupe électrogène qui va assurer la continuité du courant nécessaire pour le bon fonctionnement.

1.9.2.8 La sécurité antivirale (c'est la sécurité contre les virus informatiques)

Un virus est un programme informatique qui peut infecter d'autres programmes dans le but de les modifier pour y ajouter une copie de lui-même, de gêner leur fonctionnement et voire même les supprimer ou nuire à certaines composantes de l'ordinateur. Les virus vont de la simple balle de ping-pong qui traverse l'écran au virus destructeur de données et au plus méchant qui formate le disque dur.

Les virus ne sont pas classés selon leurs dégâts mais selon leur mode de propagation et d'infection, d'où, outre les virus classiques, on distingue principalement quatre types de virus :

ü Les Vers ce sont des virus capables de se propager à travers un réseau d'entreprise.

ü Les Chevaux de Troie (les troyens) sont des virus qui permettent de créer une faille dans un système, généralement, c'est pour permettre à leur programmeur de s'introduire dans le système infecté et de l'administrer à distance et faire tout ce qu'il veut.

ü Les bombes logiques sont des virus capables de se déclencher suite à un évènement particulier (suite à une date système programmée, exemple : le virus de CHERNOBYLE)

ü Les Canulars sont des annonces publicitaires (les spams) qui arrivent à travers le courrier électronique et qui peuvent contenir des virus ou des fausses alertes ou des fausses informations.

L'Antivirus

C'est un utilitaire qui détecte les virus sur l'ordinateur par l'analyse (opération de scan) des fichiers sur tout support de données : Disque Dur, disquette,

CD et même ceux qui sont encore en Mémoire centrale ou sur le secteur d'amorçage

Quelques antivirus :

ü Symantec Norton Antivirus

ü Mcafee Virusscan

ü F-secure, etc.

Vu le nombre de virus existants et augmentant et vu leur nuisance, leur menace et leur rapidité de propagation accrue grâce au réseau Internet, la nécessité de se disposer d'un antivirus n'est plus à démontrer.

Mais vu la création et l'injection journalière, de nouveaux virus sur l'Internet, la possession d'un antivirus n'est plus suffisante pour s'assurer et dire qu'aucun virus ne passerait inaperçu car l'antivirus, lors de son analyse, fait référence à une liste de signatures numériques des différents virus établie lors de son développement; alors il ne peut donc reconnaître la signature de ceux qui sont créés après sa commercialisation.

Reconnaître de façon automatique les nouveaux virus ; Non !

Mais, Oui, avec l'acquisition d'une nouvelle version d'antivirus ou par le téléchargement à partir de l'Internet de la liste de nouvelles définitions des virus de façon périodique et fréquente pour que l'antivirus puisse détecter les virus récemment créés et éventuellement désinfecter les fichiers touchés et ainsi éviter les risques de nouvelles infections.

1.9.3 Architecture de sécurité

Cette architecture reflète l'ensemble des dimensions organisationnelles, juridiques, humaines et technologiques de la sécurité informatique à prendre en considération pour une appréhension complète de la sécurité d'une organisation.

1.9.3.1 Dimension humaine

ü Gestion des ressources humaines

ü Dissuasion

ü Surveillance

ü Ethique

ü Formation

ü Compétence

ü Etc.

1.9.3.2 Dimension technique et opérationnelle

ü Sécurité matérielle

ü Sécurité environnementale

ü Sécurité des télécoms

ü Sécurités des personnes

ü Sécurité logique

ü Sécurité applicative

ü Sécurité de l'exploitation

ü Sécurité physique

1.9.3.3 Dimension juridique et réglementaire

ü Norme

ü Procédures

ü Conformité

ü Législation

ü Contrats

ü Etc.

1.9.3.4 Dimension politique organisationnelle et économique

ü Stratégie

ü Gouvernance

ü Responsabilité

ü Organisation

ü Evaluation

ü Contrôle

ü Optimisation

ü Maîtrise des coûts

ü Assurance

ü Etc.

1.9.4 Stratégie de sécurité

Une bonne stratégie de sécurité ne permet pas de gagner de l'argent. Par contre, si elle est bien préparée et exploitée comme il le faut, elle nous évite d'en perdre.

Une bonne stratégie opérationnelle, doit passer par les trois étapes suivantes :

a) Une bonne Préparation

ü Une charte de sécurité

ü Un cahier des charges

ü Les moyens nécessaires à la mise en place de la sécurité

b) Une bonne application

ü Planification de la mise en place

ü Mise en place des procédures de différents aspects de la sécurité

ü Veiller à la disponibilité et au bon état du tout le système de sécurité

c) Un bon suivi

ü Contrôle et vérification périodique de l'efficacité du système sécurité (Audit de la sécurité),

ü Formation et recyclage du personnel de la sécurité,

ü Renouvellement des moyens de sécurité obsolètes (dépassés),

ü Mise à jour périodique de l'antivirus,

ü Mise à jour périodique des systèmes d'exploitation pour remédier à leur bug et à leur faille de vulnérabilités aux intrusions qui viennent de l'extérieur et en particulier de l'Internet.

En résumé, obtenir un niveau de sécurité informatique suffisant pour prévenir les risques technologique et informationnel est primordial tant pour les individus que pour les organisations ou les Etats qui utilisent ou fournissent des services via les technologies numériques. Il est important de pouvoir identifier les valeurs à protéger et les risques correctement afin de déterminer les exigences de sécurité et les moyens de les satisfaire. Ceci implique une approche globale, pluridisciplinaire et systémique de la sécurité. La sécurité informatique doit permettre de répondre aux besoins de disponibilité, d'intégrité et de confidentialité de certaines ressources. Aux aspects purement techniques de la sécurité, il faut associer la mise en oeuvre efficace de procédures d'exploitation et de gestion. Par ailleurs, le personnel de l'organisation doit être formé aux mesures de sécurité et doit s'engager à les respecter. Ainsi, la sécurité informatique fait également appel à l'intégrité des personnes qui conçoivent, gèrent, utilisent les infrastructures informatiques et à une gestion appropriée des ressources humaines^12(*).

* ⁸ Julien Levrard : « La sécurité du Système d'Information : De nouveaux défis pour la DSI »

* ⁹ GHERNAOUTI-Hélie S.,  « sécurité informatique et Réseaux », Dunod, Paris, pages 1 à 5

* ¹⁰ MAKKES Mounir et HADHRI Mohamed Ali : « Gestion d'un Centre Informatique » page 29.

* ¹¹ Dhafrallah MHIR : « La sécurité des systèmes informatiques » édité en janv-2003 ( pages 25 à 29)

* ¹² GHERNAOUTI-Hélie S., Opcit, p15.