Pourquoi sécuriser
Alors que l'informatique est devenue pour l'entreprise un outil incontournable de gestion, d'organisation, de production et de communication, les données mises en œuvre par le système d'information ainsi que les échanges internes et externes sont exposés aux actes de malveillance de différentes natures et sans cesse changeants.
Il convient en conséquence de ne pas renoncer aux bénéfices de l'informatisation, et pour cela de faire appel à des spécialistes qui apportent une garantie contre les risques, d'une manière permanente, en préservant la stricte confidentialité des données, et pour un budget raisonnable.
La problématique du travail en réseau
Le réseau : un outil de production exposé
L'informatique est devenue un outil incontournable de gestion, d'organisation, de production et de communication.
Le réseau de l'entreprise met en œuvre des données sensibles, les stocke, les partage en interne, les communique parfois à d'autres entreprises ou personnes, voire les importe d'au-delà les murs.
Cette ouverture vers l'extérieur conditionne des gains de productivité et de compétitivité.
Il est impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur, de retirer aux données leur caractère électronique et confidentiel.
Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes de malveillance dont la nature et la méthode d'intrusion sont sans cesse changeantes.
Les prédateurs et voleurs s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient l'entreprise à l'extérieur.
Une protection juridique faible
Les malfaiteurs sont difficilement identifiables, comme ils agissent à distance, à travers des relais.
Si les attaques sont souvent transfrontalières, les lois — elles —, ne le sont pas.
La lenteur de la coopération judiciaire inter états s'ajoute aux différences de législations d'un état à l'autre.
De sorte que l'impunité reste de fait.
Il est d'autre part difficile de prouver l’effraction réelle.
Seule la mise en place d'une sécurité forte peut conduire à prouver le vol et les pertes engendrées.
Ainsi, comme les données informatiques peuvent être volées par copie, une capacité d'analyse pointue des traces d’activité se révèle absolument nécessaire.
Des obligations légales à respecter
Obligation de protéger l’accès aux données nominatives (clients, patients, salariés, etc.) : l'article 226-17 du code pénal punit de 5 ans d'emprisonnement ou/et 2 MF d'amende.
Obligation contractuelle de surveillance, dans le cadre d'accords de partenariat (B to B, secret Défense, etc.).
Obligation de respect du domaine privé des salariés : les échanges privés ne sauraient être écoutés ou lus par l’employeur, s'agissant notamment de la messagerie électronique.
Les attaques et le piratage
La délinquance informatique : une réalité
Les pirates informatiques ne sont plus seulement des "brico-leurs", ce sont des malfaiteurs qu’il faut traiter comme tels : les statistiques Europol - G8 Nice révèlent que 60% des équipes effectuant des attaques lourdes sont financées par le crime organisé.
Leur but est le profit et leur idéologie supposée est souvent de façade, pour justifier des actes délictueux : selon les mêmes statistiques, 80% des attaques sont à but financier.
Les attaquants disposent d'outils efficaces, leur ouvrant l'accès à des réseaux pourtant conçus par des professionnels de bon niveau.
Puisque 44% des sites Internet ont pu être piratés malgré la présence de "pare-feux", comment résisteraient les 93% de sites représentant des cibles faciles à pénétrer ?
La gravité des impacts
Le piratage informatique :
- met en jeu la survie de l'entreprise : une étude du Gardner Group montre que 95% des sociétés de taille moyenne ayant été piratées sévèrement en 1998 ont stoppé leur activité dans les douze mois qui suivaient ;
- paralyse : destruction des données, de la capacité de production ; dégradation de l’image de l’entreprise ;
- vole : détournement de fonds, chantage, impayés.
Exemples frappants :
- chantage à la destruction : une banque américaine, 10 M de $US de rançon versée ;
- vol d'un cœur de métier : un éditeur de logiciels, la mise en circulation de versions pirates cause un manque à gagner majeur ;
- vol de données portant sur une clientèle de particuliers : une société de sondage pour la télé, vol d'un fichier des sondés contenant leur profil psychologique ; 3 M d'euros de dommages et intérêts et fermeture de la société.
Impacts négatifs "courants" :
- fonctionnels : perte de crédibilité, d'exploitation (indisponibilité des outils), de compétitivité (vol d'informations), de savoir faire (destruction de données) ;
- financiers : perte de valorisation boursière, perte d'exploitation, perte de compétitivité ; extorsion ou détournement de fonds ;
- structurels : perte de confiance interne et externe dans l'entreprise (l'image donnée d'elle est négative).
Protéger son réseau d'entreprise
L'organisation à mettre en place
Bien évidemment, l'entreprise a à définir une politique générale de sécurité interne vis-à-vis de ses salariés et visiteurs : règles de travail, droits d'accès physiques et logiques, etc.
Autre considération de poids :
- l'entreprise doit veiller à la protection physique des installations (prévoir le risque d'incendie ; fournir une alimentation électrique permanente et régulée ; contrôler l'accès pour lutter contre les volontés de dégradation, sabotage et autres actes malveillants)
- cette protection doit être associée à une politique de sauvegarde régulière, avec stockage distant des sauvegardes.
S'agissant de la sécurité logique de ses applications informatiques, l'entreprise doit la faire prendre en compte dans la programmation (sécurité intégrée dans l'application) et — en permanence —, dans l'administration des applications et dans leur exploitation (gestion des droits d'accès des utilisateurs, tenue à jour des systèmes et des langages, etc.).
Doit également être assurée la surveillance du système d'information (réseau interne de l'entreprise) : activité, analyse des journaux d'activité, audit, ...
Enfin, la protection et la surveillance des points d'accès au réseau nécessitent une vigilance particulière : la protection des connexions entre le réseau privé de l'entreprise et le réseau public (Internet) passe par la mise en place de points de filtrage devant être sûrs et surveillés, si l'on veut détecter toute tentative d'attaque et la bloquer avant qu'elle cause des dégâts.
Les nouveaux défis posés à la DSI (Direction du
Service Informatique)
L'évolution des besoins oblige à une véritable mutation du service informatique, qui doit prendre en compte :
- la nécessité de passer par des réseaux publics : interconnexion des sites de l'entreprise, développement des accès à l'Internet ;
- l'intégration d'outils de Net-économie, avec accès aux données de l'entreprise.
Les risques se modifient et s'ajoutent : des centaines de nouveaux virus apparaissent chaque mois, l'ingéniosité des attaquants est grandissante, le piratage informatique à visée mercantile progresse rapidement et vise essentiellement les entreprises, etc.
Si la prise de conscience des risques et le besoin de leur évaluation s'imposent d'eux-mêmes, après un acte grave de piratage, il est admis désormais que l'on ne doit plus attendre pour agir :
- dès 1999, une étude Price Waterhouse Cooper (2 250 entreprises interrogées en 1999 dans 49 pays) montrait que 59% inscrivaient la politique de sécurité informatique en priorité haute pour l'entreprise, outre 32% qui la mettent en priorité moyenne ;
- cette politique est définie aujourd'hui à 40% par la DSI, à 24% par la Direction Générale, à 21% par la Direction de la Sécurité.
Des facteurs importants freinent la mise en place d'un système de sécurité informatique et rendent difficile sa maintenance :
- disponibilité trop faible des services informatiques internes, qui ne peuvent pas surveiller 24h/24 et protéger l'accès au réseau d'entreprise qui fonctionne en permanence (poids : 24%) ;
- carences, face à la complexité technologique : il manque des compétences au niveau des services informatiques internes de l'entreprise, dans un marché de l'emploi pourvoyant difficilement les profils requis (poids : 19%) ;
- évolution rapide des technologies de sécurité et des procédés d'attaque utilisés par les pirates (poids : 16%).
Nos recommandations les meilleures
Demandez un audit-sécurité de votre système d'information :
- l'objectif est de dresser un état des lieux des vulnérabilités et de proposer s'il y a lieu des solutions ;
- des tests intrusifs évalueront les risques portés par vos accès externes (interconnexions avec les autres sites, Internet, accès distants) : usurper les privilèges d’utilisateur ou d’administrateur, introduire des « chevaux de Troie » ; infecter le système d’information avec des virus ; déni de service ; accès à des informations protégées (via la consultation et/ou la modification des fichiers) ; efficacité des éléments d'interconnexion (routeurs, filtres, "pare-feux") ; possibilité de rebondir, d'un site distant à un autre ; etc.
Bâtissez le réseau virtuel global de votre entreprise :
- protégez les données de l'entreprise, les transferts d’informations entre les différents sites d'implantation ;
- augmentez la productivité du système d'information : par la mutualisation des équipements et des services liés à la sécurité, par une plus grande facilité de management, par la mise en place d'un système unique si votre entreprise a plusieurs sites.
Choisissez l'externalisation vers un partenaire spécialisé :
- il est possible de déléguer la protection des accès à votre réseau d'entreprise ;
- vous règleriez d'un coup toutes les difficultés liées à la maîtrise permanente de technologies complexes et très (trop) spécifiques ;
- vous ne perdriez pas d'énergie dans la gestion délicate de contraintes humaines (heures supplémentaires, service à assurer 24h/24, quelles équipes et procédures de relais, etc.).
Notre offre en matière de sécurisation informatique
Entretien de sensibilisation sur la sécurité réseau
Nous intervenons partout en France.
Conseil et ingénierie Sécurité
Prestations de base pour sécuriser votre système
d'information.
Missions de conseil et d'ingénierie :
- étude et mise en œuvre d'éléments de sécurité : firewall, proxy, VPN, IDS ;
- étude de la confidentialité des données ;
- sécurisation des systèmes, audit, politique de sécurité globale
- accompagnement lors de la mise en oeuvre.