Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

samedi 10 décembre 2016

Introduction

La sécurité informatique est l'affaire de tous! Qu'il s'agisse d'une utilisation privée ou professionnelle, assurer cette sécurité commence par une série de bonnes pratiques et l'usage adéquat des outils de protection existants
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Le facteur humain au coeur de la sécurité informatique

Nombreux sont ceux qui pensent que la sécurité informatique ne concerne que les techniciens compétents en la matière. Cette idée est fausse! La sécurité informatique commence avec l'éducation de l'utilisateur aux bonnes pratiques.

Lorsque nous quittons notre domicile, nous sommes relativement confiants dans le fait que personne ne pourra pénétrer dans notre habitation car nous sommes équipés de dispositifs de protection tels que les serrures des portes ou encore un système d'alarme sophistiqué. Cependant, aucun de ces dispositifs n'est efficace si nous ne verrouillons pas la serrure ou si nous oublions de brancher le système d'alarme! Le même raisonnement s'applique au monde de l'informatique: installer un réseau informatique sans fil (WiFi) sans activer le contrôle d'accès revient à laisser grande ouverte la porte de son domicile "informatique".

Platon nous a appris que ce sont les hommes et non les pierres qui font le rempart de la Cité! Le maillon faible de la sécurité informatique reste toujours le facteur humain, et les performances des meilleurs équipements réseau reposent sur leur bonne configuration et la robustesse des logiciels.

(*) Thucydide, historien grec (5ème siècle avt. J-C)
L'épaisseur d'un rempart compte moins que la volonté de le défendre!

La plupart des entreprises et des administrations ont peu ou pas de compétences pour gérer cette matière toujours plus complexe. De nombreux responsables de ces organisations se rendent désormais compte de la complexité toujours croissante de leurs systèmes informatiques et réalisent que l'origine de leurs problèmes en matière de sécurité n'est pas toujours Internet ou les connexions vers l'extérieur.

Un monde ouvert et interconnecté

Nous vivons dans un monde de plus en plus interconnecté. De fait, l'interconnexion de systèmes informatiques favorise la communication et par conséquent augmente le nombre d'interactions. Cette ouverture vers le monde extérieur à un double impact:

  • le nombre de portes d'accès à notre environnement personnel augmente,
  • les actes que nous posons ont une portée de plus en plus étendue.

Le premier impact a pour conséquence la nécessité d'augmenter le nombre et la localisation des moyens de protection à mettre en place. Lorsqu'une grande surface ajoute une sortie supplémentaire à son bâtiment, le responsable sécurité doit non seulement doter la sortie d'un système antivol supplémentaire, mais aussi augmenter le personnel de surveillance car celui-ci ne peut avoir une portée sur l'entièreté des zones à sécuriser.

Le second impact, tout aussi important, est trop souvent négligé. Ainsi, les comportements imprudents ont une portée bien plus grande qu'on ne se l'imagine. Leurs conséquences peuvent affecter:

  • vous-même: un intrus peut lire, modifier ou détruire vos données, usurper votre identité, ou encore utiliser vos ressources informatiques auxquelles il n'a évidemment pas droit, etc.,
  • les autres membres de la communauté à laquelle on appartient (famille, étudiants, collègues, etc.): un intrus peut "se faire passer pour vous" via votre ordinateur pour attaquer et endommager les comptes et ordinateurs de la communauté, avec un impact parfois considérable sur leurs études, leurs travaux ou leurs recherches,
  • le monde extérieur (infrastructure d'un partenaire, Internet, etc.): pour les mêmes raisons qu'au point précédent,
  • votre réputation ou l'image de marque de votre entreprise.

Pour toutes ces raisons, l'argument "je n'ai pas besoin de me soucier de sécurité informatique, parce que ça m'est égal qu'on puisse lire, modifier ou détruire mes données, usurper mon identité, etc." n'est pas valable!

Pourquoi un guide de la sécurité informatique?

La sécurité n'est pas simplement une affaire de sécurisation de réseau et/ou de communications informatiques! Les causes de problèmes peuvent ainsi être très diverses:

  • erreurs de conception et de programmation,
  • pannes graves et destruction de supports physiques (incendie etc),
  • erreurs de manipulation,
  • négligences ou actes volontairement nuisibles (virus, espionnage, etc.).

Les risques peuvent venir de n'importe où (intérieur ou extérieur) et survenir n'importe quand! Tout défaut d'information, de préparation et d'organisation en la matière risque de laisser les utilisateurs, privés ou professionnels, totalement démunis face aux problèmes de sécurité informatique et à leurs conséquences parfois dramatiques.

Par rapport à la sécurité traditionnelle à laquelle nous sommes quotidiennement confrontés dans la vie de tous les jours, les menaces informatiques sont plus difficiles à gérer, notamment du fait du manque global d'éducation en la matière. De plus:

  • les architectures informatiques peuvent être complexes,
  • les comportements des utilisateurs sont souvent difficiles à prévoir,
  • les équipements courants, les logiciels du commerce, les réseaux ouverts offrent en général peu de garanties (Internet n'est plus cher du tout, mais pas forcément sécurisé!),
  • les recours juridiques ne sont pas assez connus,
  • les polices d'assurances ne sont pas suffisamment adaptées (comment assurer une information numérique?),
  • etc.

La sécurité informatique de nos jours reste trop réactive. On réagit pour régler un problème plutôt que de chercher à l'éviter. Il n'y a actuellement pas de garantie absolue de sécurité: on assure au mieux la protection, on réduit les risques mais on ne peut pas les éliminer complètement. Trop peu d'entreprises ou d'administrations adoptent une véritable attitude proactive pour prévenir les problèmes. Cette situation est notamment due au manque de produits vraiment adaptés. Ceux-ci sont toutefois de plus en plus nombreux.

L'objectif de ce dossier est de permettre une meilleure gestion du risque en matière de sécurité informatique, grâce à la présentation des outils ad-hoc et de bonnes pratiques à mettre en oeuvre.

Situation actuelle et tendances

Si la problématique était peu inquiétante il y a quelques années encore, la situation a malheureusement rapidement évolué dans le mauvais sens. Dans les années 1995-2000, il y avait peu d'attaques informatiques. De plus, il fallait le plus souvent disposer de compétences techniques très poussées pour réaliser une attaque informatique, ce qui réduisait fortement le nombre potentiel d'auteurs.

Aujourd'hui, on trouve sur Internet bon nombre d'outils prêts à l'emploi. N'importe quel amateur ou presque peut ainsi exécuter des attaques informatiques, parfois sans se rendre compte des dégâts!

En se référant aux nombreuses études et recherches effectuées par les centres spécialisés et les universités, on peut ainsi tirer quelques enseignements majeurs:

  • l'augmentation constante du nombre d'attaques et d'outils permettant ces attaques, et la diminution des compétences nécessaires pour les réaliser,
  • la sécurité informatique est un problème humain: la créativité des cyber-criminels semble sans limite,
  • parmi les risques liés à la sécurité, les virus et les vers arrivent en tête du classement des dégâts provoqués, suivis par les attaques internes,
  • la sécurité informatique a un coût qui se calcule en fonction des risques que l'on pourra supporter par rapport aux services qui doivent fonctionner, tout en sachant que la sécurité idéale coûte très cher.
Nombre d’incidents connus liés à la sécurité informatique répertoriés par le CERT (http://www.cert.org)
CSI/FBI 2004 Computer Crime and Security Survey Results (source: http://www.gocsi.com)
CSI/FBI 2004 Computer Crime and Security Survey Results
Portail de la Région wallonne