CHAPITRE II : ETUDE DE LA SECURITE INFORMATIQUE

Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet.^19(*) 

Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise. 

La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais «vulnerability », appelée parfois faille ou brèche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace. 

Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. 

Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions. 

II.1. CRITÈRES DE SÉCURITÉ ET FONCTIONS ASSOCIÉES20(*)

Les solutions de sécurité qui seront mises en place doivent contribuer à satisfaire les critères suivants :

§ la disponibilité;

§ l'intégrité;

§ la confidentialité.

À ces trois critères s'ajoutent ceux qui permettent de prouver l'identité des entités (notion d'authentification) et ceux qui indiquent que des actions ou événements ont bien eu lieu (notions de non-répudiation, d'imputabilité voire de traçabilité).

II.1.1. Disponibilité

Pour un utilisateur, la disponibilité d'une ressource est la probabilité de pouvoir mener correctement à terme une session de travail.

La disponibilité d'une ressource est indissociable de son accessibilité: il ne suffit pas qu'elle soit disponible, elle doit être utilisable avec des temps de réponse acceptables.

Elle est mesurée sur la période de temps pendant laquelle le service offert est opérationnel. Le volume potentiel de travail susceptible d'être pris en charge durant la période de disponibilité d'un service, détermine la capacité d'une ressource (serveur ou réseau par exemple).

La disponibilité des services, systèmes et données est obtenue:

- Par un dimensionnement approprié et une certaine redondance;

- Par une gestion opérationnelle efficace des infrastructures, ressources et services.

Dans le cas d'un réseau grande distance de topologie maillée par exemple, la disponibilité des ressources réseau sera réalisée à condition que l'ensemble des liaisons ait été correctement dimensionné et que les politiques de routage et de gestion soient satisfaisantes.

Dans un contexte de système d'information d'entreprise, des tests de montée en charge sont généralement effectués pour évaluer le comportement des systèmes sous certaines conditions extrêmes et contribuer ainsi à mieux définir leur dimensionnement.

Un service nominal doit être assuré avec le minimum d'interruption, il doit respecter les clauses de l'engagement de service établi sur des indicateurs dédiés à la mesure de la continuité de service.

Des pertes de données, donc une indisponibilité de celles-ci, sont possibles si les procédures d'enregistrement et les supports de mémorisation ne sont pas gérés correctement. Ce risque majeur est souvent mal connu des utilisateurs. Leur sensibilisation à cet aspect de la sécurité est importante mais ne peut constituer un palliatif à une indispensable mise en place de procédures centralisées de sauvegarde effectuées par les services compétents en charge des systèmes d'information de l'entreprise.

De nombreux outils permettent de sauvegarder périodiquement et de façon automatisée les données, cependant, une définition correcte des procédures de restitution des données devra être établie afin que les utilisateurs sachent ce qu'ils ont à faire s'ils rencontrent un problème de perte de données.

Une politique de sauvegarde ainsi qu'un arbitrage entre le coût de la sauvegarde et celui du risque d'indisponibilité supportable par l'organisation seront établis afin que la mise en oeuvre des mesures techniques soit efficace et pertinente.

* ¹⁹ http://www.commentcamarche.net/contents/1033-introduction-a-la-securite-informatique

* ²⁰ INVIZA LEPAPA, Introduction aux réseaux TCP/IP. Support de cours, Ed. 2013/99, Page 5.