Fotolia_51543204_S

La sécurité informatique est un élément de plus en plus présent dans nos DSI. Toutes les organisations se croient protégées, en réalité il n’en est rien. Il faut se dire que tous les jours, en France, au moins un système informatique est piraté ou victime de malveillance. Votre système n’est sans doute pas plus protégé que les autres et s’il n’a pas subi d’attaque provoquant une indisponibilité il est fort probable que cela ne soit que le fruit du hasard. Les menaces qui pèsent sur la DSI sont nombreuses : virus, hacking, bombe logique, spyware, DDOS, injection SQL, … Il faut savoir qu’il est impossible de se protéger de l’ensemble des menaces qui existent, surtout que les malveillants en inventent de nouvelles tous les jours. La question n’est pas seulement « comment se protéger ? » mais aussi « que faire une fois que l’on a été victime d’une attaque ? »

Si vous discutez avec des utilisateurs autour de vous, ils vous diront souvent deux choses :

  • Les virus ?  Je m’en fous, j’ai un antivirus.
  • Oui, j’ai sans doute des virus, mais ça ne m’empêche pas de dormir.

Donc, à quoi servent les virus ? Depuis leur création, dans les années 70, les virus sont passés successivement de modèle de programmation, élément de blague sur les réseaux, outil de destruction des données jusqu’à aujourd’hui où ce sont des éléments de business. Eh oui, les virus sont au centre d’un énorme marché de la malveillance internet ! On peut identifier deux grandes familles de virus :

  • Les botnet
  • Les keylogers

Comment fonctionnent les botnet ? Imaginez que vous êtes une entreprise vendant des médicaments illégaux en Europe. Vous devez pouvoir toucher votre clientèle en direct, pour cela vous allez utiliser des mails. Vous allez donc contacter une entreprise qui va vous vendre un certain nombre de mails envoyés en grands nombres (plusieurs centaines de milliers). Une partie de ces mails va être envoyée de votre ordinateur par le botnet. C’est exactement le même principe avec les attaques DDOS, qui consistent à saturer un système informatique en le faisant s’écrouler sous les demandes d’accès, sauf que dans ce cas, votre PC n’envoie pas des mails, mais émet des demandes de service vers le système.

Les keylogers sont plus insidieux, ils se chargent dans votre machine et enregistrent tout ce que vous tapez au clavier. Ces informations sont ensuite envoyées à des serveurs qui se chargent de les stocker et de les revendre. C’est de cette manière que vos numéros de carte bleue, vos numéros de compte ou vos mots de passe peuvent se retrouver sur le net.

Bien sûr, les entreprises ne sont pas à l’abri de ce type d’attaques et toute la sécurité du monde ne permet pas de protéger une entreprise si ses employés ne sont pas partie prenante dans sur ce sujet. La plus grande faille de sécurité est toujours humaine, il est donc important que tout le monde soit au courant de quelques règles à respecter. Mais cela ne suffira pas, hélas. Il sera toujours trop tentant de cliquer sur le mail « I love you » ou sur la publicité « gagnez un iPhone gratuitement ». Tôt ou tard, le périmètre ne sera plus protégé et la faille laissera passer l’élément perturbateur.

Que faire une fois le périmètre compromis ?

Le mot d’ordre est l’anticipation. Ce n’est pas au moment où j’ai une brèche de sécurité qui a laissé passer une attaque que je dois me demander ce que je dois faire. Il faut donc que cette situation ait été prévue et que l’on sache comment la gérer. La bonne approche est de mettre en place une gestion des risques. Il existe de nombreux référentiels sur le sujet : M_o_R, RiskIT, EBIOS, Mehari … Tous fonctionnent plus ou moins sur le même modèle :

  • Identification des risques
  • Priorisation
  • Identification des réponses
  • Mise en œuvre des réponses

Vous pourrez trouver certaines variations, des référentiels faisant la différence entre une menace et une opportunité, mais globalement vous allez retrouver les mêmes bonnes pratiques. La gestion des risques va vous permettre de mettre en œuvre le second volet de la protection informatique : la réaction à une compromission.

Pour être totalement efficace, il est bon d’interfacer ces éléments avec ITIL, ainsi le processus de la gestion de la sécurité (Conception des Services), sera renforcé si vous avez intégré une gestion des risques dans son fonctionnement. Il en va de même pour la capacité, la continuité et la disponibilité. Ces processus vont permettre de redémarrer l’activité une fois que l’infrastructure aura été victime de compromission et ils sont donc indispensables pour pouvoir reprendre une vie normale après une catastrophe...