Sécurité du système d'information PDF

La sécurité du système dʼinformation Tous droits réservés à STUDI - Reproduction interdite Table des matières Table des matières I. Compétences attendues, savoirs associés 3 II. Enjeux et critères de la sécurité du SI 4 III. Exercice : Quiz 8 IV. Principales menaces et protections 9 V. Exercice : Quiz 19 VI. Responsabilités des acteurs dans la sécurité du SI 21 VII. Exercice : Quiz 24 VIII. Sauvegardes et restauration du SI 25 IX. Auto-évaluation 28 X. Lʼessentiel 29 Solutions des exercices 29 2 Tous droits réservés à STUDI - Reproduction interdite I. Compétences attendues, savoirs associés Contexte Le programme du DSCG suppose connu celui du DCG. Il est ainsi courant de retrouver dans lʼétude de cas DSCG UE5 des questions en lien avec ces fondamentaux de DCG, supposés acquis à ce stade (facture électronique, RGPD, rôle des ESN, etc.). Ce cours rappelle des notions essentielles du module 3 du référentiel DCG UE8 : « Sécurité et fiabilité des SI à lʼère de la communication numérique ». Le numérique sʼimpose dans les échanges entre acteurs économiques comme un facteur de compétitivité, mais aussi comme une contrainte résultant dʼobligations de plus en plus nombreuses. Le fonctionnement des échanges numériques conduit à sʼinterroger sur lʼutilisation des données stockées, sur leur sécurité, puis à trouver des solutions pour y répondre. Les données constituent une ressource vitale pour les organisations, tant au plan opérationnel pour la gestion de ses processus, quʼau niveau stratégique pour la prise de décision. Dans ce contexte, la sécurisation du système dʼinformation est un enjeu de premier plan. Chaque acteur au sein du SI doit connaître et mettre en œuvre les règles de bases de la sécurité informatique (physique et logique), notamment les accès aux réseaux et lʼutilisation dʼInternet. La politique de sécurité est abordée dans ses dimensions humaine, organisationnelle et technologique. Nous souhaitons aborder quelques définitions et concepts essentiels – il vous appartient ensuite dʼaller plus loin en consultant les cours dédiés à cette matière (via Scholarvox par exemple). Voyez donc ce cours comme un glossaire, une revue des bases nécessaires à une prise de hauteur attendue pour le niveau de master, à savoir la vision managériale du SI. Par ailleurs, le choix est fait de ne pas détailler certaines notions qui seront approfondies dans le cours de Management des SI du DSCG. Enfin, le module 2, en lien avec la conception du SI (modélisation des processus, à lʼaide du tableur, des bases de données, etc.), nʼest pas revu, car il nʼa pas dʼutilité directe pour la compréhension des savoirs de lʼUE DSCG 5 portant sur le management des SI. Lien avec le référentiel DCG UE8 Module 1 – Sécurité et fiabilité des SI à lʼère de la communication numérique Voir le document diﬀusé dans le Bulletin Oﬀiciel.1 Sens et portée de l'étude « Les données constituent une ressource vitale pour les organisations, tant au plan opérationnel pour la gestion de ses processus, quʼau niveau stratégique pour la prise de décision. Dans ce contexte, la sécurisation du système dʼinformation est un enjeu de premier plan. Chaque acteur au sein du SI doit connaître et mettre en œuvre les règles de base de la sécurité informatique (physique et logique), notamment les accès aux réseaux et lʼutilisation dʼInternet. La politique de sécurité est abordée dans ses dimensions humaine, organisationnelle et technologique. » Compétences attendues Savoirs associés Identifier et hiérarchiser les principaux Critères de la sécurité des systèmes risques liés à la sécurité du SI. d'information (disponibilité, Identifier les mesures de protection à intégrité/inaltérabilité, confidentialité, mettre en place. traçabilité, imputabilité et non répudiation). Appliquer les procédures de sécurité. Risques, menaces, vulnérabilités. Analyser la fiabilité des procédures et des traitements. Responsabilité de la sécurité du SI. 1 https://cache.media.enseignementsup-recherche.gouv.fr/file/25/01/5/ensup135_annexe1_1142015.pdf Enjeux et critères de la sécurité du SI Compétences attendues Savoirs associés Prendre en compte la dimension Le rôle du facteur humain dans la humaine dans la gestion des risques. sécurité du système d'information. Outils et procédures de protection, de sauvegarde et de restauration de données. Source : Bulletin oﬀiciel n° 25 du 26.06.2019. II. Enjeux et critères de la sécurité du SI Les mesures à mettre en place pour la sécurisation du SI ne se résument pas à des solutions techniques (sécurité logique des données, applications et systèmes, mais aussi sécurité physique des réseaux et infrastructures). Elles comprennent surtout des mesures de formation et de sensibilisation des utilisateurs, ainsi quʼun ensemble de règles et de procédures clairement définies. Les enjeux autour de la sécurisation du SI sont nombreux : Limiter les impacts financiers, quʼils soient directs (activité interrompue et perte de CA à la suite dʼune attaque via ransomware/rançongiciel, par exemple) ou indirects (frais de réparation, temps passé à reconstituer des données, à restaurer des systèmes, etc.). Préserver lʼimage de lʼorganisation, sa réputation (éviter la perte de clients, la divulgation de données sensibles à la concurrence, etc.). Réduire les impacts juridiques et réglementaires (exemples : sanctions pour non-respect du RGPD, utilisation illégale de logiciels, défaut de protection du SI, etc.). Maintenir la stabilité de lʼorganisation en place. 4 Tous droits réservés à STUDI - Reproduction interdite Enjeux et critères de la sécurité du SI Complément Des sources pour aller plus loin Pour connaître les principales menaces, la lecture des rapports établis par les organismes spécialisés dans le domaine est édifiante. En France, lʼAgence Nationale de la Sécurité des Systèmes dʼInformation (ANSSI), sous la responsabilité des services du Premier ministre, est chargée dʼune mission de prévention et dʼinformation de tous les acteurs de la vie citoyenne et économique. Celle-ci publie régulièrement des recommandations sous forme de rapports au format PDF : ANSSI1. Dʼautres sources viennent relayer ces recommandations, en particulier le CLUSIF (Club de la sécurité de lʼinformation français) qui réunit des organisations publiques et privées, notamment des assureurs, soucieuses de promouvoir les bonnes pratiques dans la cybersécurité. Tous les rapports de recommandations, méthodologie ou état de lʼart sont proposés en accès libre six mois après leur publication : CLUSIF2. Sur la base de ces documents, il est possible de mener une veille quant aux risques possibles pour les organisations dans le domaine des SI. 1 https://www.ssi.gouv.fr/ 2 https://clusif.fr/les-publications/ Tous droits réservés à STUDI - Reproduction interdite 5 Enjeux et critères de la sécurité du SI Les critères de la sécurité du SI Ces critères sont proposés dans le tableau suivant. Critère Définition et remarques La disponibilité est la capacité dʼaccessibilité au moment voulu (plages dʼutilisation prévues) des biens par les personnes autorisées. Disponibilité Une interruption de lʼactivité (processus paralysés) liée à des dysfonctionnements du SI peut avoir des conséquences désastreuses. Cʼest la garantie que le système et lʼinformation traitée ne sont modifiés que par une action volontaire et légitime. Ainsi, une donnée intègre nʼa pas été altérée (modifiée), elle est complète. Intégrité (inaltérabilité) Le SI comptable doit à tout moment refléter la réalité des opérations (notion de « bonne information »). Lʼaudit du SI doit mettre en évidence que les traitements et données ne sont pas altérés durant les cycles de production de lʼinformation comptable. La confidentialité est la propriété dʼune information qui nʼest ni disponible ni divulguée aux personnes, entités ou processus non autorisés. Confidentialité Le secret des aﬀaires doit être maintenu. Des processus de production de biens et services incluant des procédés confidentiels ne doivent pas être divulgués à la concurrence, au même titre que les clients font confiance à lʼentreprise quant au respect du RGPD. 6 Tous droits réservés à STUDI - Reproduction interdite Enjeux et critères de la sécurité du SI Les trois critères suivants sont liés au niveau de preuve (imputabilité, non-répudiation et traçabilité) : Critère de preuve Définition et remarques Lʼimputabilité désigne la capacité à rattacher un fait à une Imputabilité responsabilité (un système, un utilisateur, etc.). La non-répudiation est un critère garantissant quʼune partie prenante à une transaction ne pourra pas ultérieurement nier (répudier) sa participation à celle-ci. Non-répudiation Autrement dit, lʼémetteur ou le récepteur dʼune donnée ne pourront pas, par la suite, nier/falsifier leurs rôles respectifs dans cet échange. Lʼusage dʼun certificat électronique/numérique dans une transaction permet, ultérieurement, de prouver lʼidentité du propriétaire de ce dernier. La traçabilité est la capacité de reconstituer a posteriori le flux dʼune donnée ou dʼun traitement en associant à des activités des identités (acteurs humains ou immatériels) et des dates. Ces traces sont enregistrées de manière à être reproduites par la suite. Des opérations réalisées au sein dʼun SI doivent au préalable Traçabilité impliquer lʼauthentification des utilisateurs. Des fichiers journaux (logs) conservent les traces laissées (adresses IP/Mac, identifiants, actions réalisées, etc.) et permettent dʼattribuer la responsabilité dʼune action à un utilisateur, tout en suivant son cheminement au sein dʼun SI. Les PGI/ERP proposent, par ailleurs, des moteurs de workflow facilitant la traçabilité des opérations réalisées (quel acteur, pour quelle opération, à quel moment). Tous droits réservés à STUDI - Reproduction interdite 7 Exercice : Quizsolution Remarque Tous les biens dʼun SI nʼont pas nécessairement besoin dʼatteindre les mêmes niveaux de sécurisation. À titre dʼexemple, un site web corporate (qui présente lʼentité) sans grande interaction avec les utilisateurs devra être très disponible et son intégrité doit être protégée, mais il nʼest pas cohérent de tenter de rendre confidentielles des informations rendues publiques ! Exercice : Quiz [solution n°1 p.31] Question 1 Il faut sécuriser le SI, car :  Les malveillances sont toujours volontaires (destruction de lʼentreprise)  Les humains doivent être protégés  Les sites physiques doivent être protégés Question 2 Cʼest à cause du RGPD que les entreprises doivent dorénavant sécuriser leur SI.  Vrai  Faux Question 3 Les critères de la sécurité du SI sont :  Intégrité, saisonnalité et ultra stylé  Disponibilité, intégrité, confidentialité et preuve  Disponibilité, intégrité, confidentialité, non-répudiation, imputabilité, traçabilité  Aucune des réponses Question 4 La capacité de reconstituer a posteriori le flux dʼune donnée ou dʼun traitement en associant à des activités des identités, cʼest :  La traçabilité  La non-répudiation  La disponibilité Question 5 Pour assurer la non-répudiation dʼune transaction, on peut recourir à :  Un certificat numérique  Une clé USB  Un mot de passe 8 Tous droits réservés à STUDI - Reproduction interdite Principales menaces et protections IV. Principales menaces et protections Un risque sera mesuré selon sa criticité, qui est liée à la probabilité et à la gravité de lʼévénement. Remarque Le risque est aussi lié à la fréquence dʼapparition de lʼévénement. Le terme « dommage » désigne la conséquence du risque. Ainsi, des priorités doivent être établies pour suivre les risques les plus graves, car touchant à des processus stratégiques (satisfaction du client, création de valeur, etc.). Il faut par ailleurs surveiller lʼévolution des risques, car des vulnérabilités peuvent apparaître rapidement (faille dans un système, arrivée de nouveaux collaborateurs ou départ dʼun employé, etc.). Les incidents ont des causes diﬀérentes : Les actes internes et non intentionnels (défauts de conception, erreurs dʼutilisation, etc.) représentent plus de 40 % des incidents de sécurité. Ils sont liés à des agissements non malveillants (maladresse, naïveté, etc.), ce qui témoigne de lʼimportance des formations et des sensibilisations liées à lʼhygiène informatique. Les attaques intentionnelles, sans forcément viser cette entreprise en particulier, sont lancées sur la base de motivations très diﬀérentes. Un cybercriminel (pirate informatique) peut agir pour des raisons politiques, idéologiques, économiques, ou par volonté de se challenger, de se faire connaître (lʼentreprise nʼest pas spécifiquement visée la plupart du temps, mais là encore un clic sur une pièce jointe par un employé peu vigilant peut être à lʼorigine dʼénormes dégâts !). Notons quʼun ancien employé peut aussi être animé par un désir de vengeance ou encore lʼappât du gain (vol de données clients, etc.). Définition Notion de menace Cause potentielle dʼun incident, qui pourrait entraîner des dommages sur un bien si cette menace se concrétisait. Les menaces sont nombreuses. Elles peuvent être liées à : Des risques matériels (pannes, défaut dʼalimentation, chute dʼun matériel, etc.), Des risques humains (malveillances comme les vols, sabotages, attaques logicielles, etc., ou maladresses, utilisations malencontreuses, etc.). Arrêtons-nous sur quelques catégories courantes de menaces et sur des mesures de protection possibles. Lʼhameçonnage (phishing) Le phishing consiste en la récupération des données personnelles sur Internet. Lʼattaquant abuse de la naïveté des personnes en utilisant, par exemple, un e-mail reprenant les logos et couleurs dʼune entreprise (une banque, un e-commerçant, une plateforme de streaming, etc.) et en demandant une mise à jour du mot de passe (renvoi vers une contrefaçon du site contenant un formulaire). Les mesures préventives pour se protéger du phishing : Ne communiquez jamais dʼinformations sensibles par messagerie ou téléphone (aucune administration ou société commerciale sérieuse ne vous sollicitera par ces moyens). Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer), ce qui aﬀichera lʼadresse vers laquelle il pointe (que vous pouvez comparer avec lʼadresse réelle du site). Parfois, un seul caractère peut changer dans lʼadresse du site et vous tromper. Au moindre doute, ne fournissez aucune information et fermez immédiatement la page correspondante. En cas de doute, contactez si possible directement lʼorganisme concerné pour confirmer le message ou lʼappel que vous avez reçu. Tous droits réservés à STUDI - Reproduction interdite 9 Principales menaces et protections Utilisez des mots de passe diﬀérents et complexes pour chaque site et application afin dʼéviter que le vol dʼun de vos mots de passe ne compromette tous vos comptes personnels. Vous pouvez également utiliser des coﬀres-forts numériques de type KeePass pour stocker de manière sécurisée vos diﬀérents mots de passe. Lʼingénierie sociale (social engineering) Il sʼagit de recourir à des leviers psychologiques chez la victime (urgence, peur de perdre son poste, etc.) pour lui extorquer des informations (coordonnées, etc.) sans quʼelle sʼen rende compte. Ce procédé, ne nécessitant pas de compétences techniques pointues, permet de dérober des informations confidentielles, ou encore de convaincre la victime dʼinstaller des logiciels malveillants, etc., et ce par lʼusage de la persuasion. Exemple Les « arnaques au président » et au changement de RIB Les fraudes/arnaques dites « au président » (FOVI, faux ordre de virement international) et au changement de RIB tentent dʼexploiter des failles dans les procédures internes de trésorerie. Ainsi, Michelin, fabricant de pneumatiques français, sʼest fait dérober 1,6 million dʼeuros via des FOVI en 2014. Le pseudo- directeur financier a réclamé que les règlements soient eﬀectués sur le compte dʼune banque en République tchèque. « Cet homme connaissait parfaitement la procédure à suivre et la personne à contacter au sein du groupe Michelin pour pouvoir eﬀectuer cette modification en toute discrétion », a rapporté une source proche de lʼaﬀaire (source : LesEchos1). La tentative de fraude se mène en général au téléphone ou par e-mail : il sʼagit de convaincre le collaborateur dʼune entreprise (services comptables, trésorerie, secrétariat, etc.) dʼeﬀectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, sous prétexte dʼune dette à régler, de provision de contrat ou autre motif. Le « changement de RIB » consiste pour les fraudeurs à envoyer un e-mail (et/ou un appel téléphonique) à un salarié du service de comptabilité ou trésorerie de lʼentreprise en se faisant passer pour un fournisseur, et lui demander de diriger ses versements vers un autre compte bancaire appartenant aux escrocs. Souvent situés à lʼétranger, les escrocs collectent en amont un maximum de renseignements sur lʼentreprise. Cette connaissance de lʼentreprise associée à un ton persuasif et convaincant est la clé de réussite de lʼarnaque (source de lʼimage : police nationale). 1 https://www.lesechos.fr/2014/11/michelin-victime-de-larnaque-au-president-313034 10 Tous droits réservés à STUDI - Reproduction interdite Principales menaces et protections Remarque Le maillon faible au sein dʼun SI est souvent lʼêtre humain, qui par gentillesse/humanisme accède à des requêtes qui lui semblent légitimes (le pare-feu a moins de sentiments). La crise sanitaire, de par la désorganisation quʼelle a induite, a été favorable à une grande vague dʼattaques. Les mesures préventives pour se protéger du social engineering sont les suivantes : Sensibiliser régulièrement le personnel au sujet des arnaques au président. Mettre en place des procédures renforcées durant les périodes de vacances, jours fériés, jours de paiement des loyers (périodes risquées, car moins de personnel, présence de saisonniers, etc.). Limiter les traces laissées sur le web (organigramme trop détaillé, communication dʼinformations sensibles via les médias sociaux, etc.), ce qui implique des rappels aux collaborateurs. Mettre en place un service de protection des e-mails afin de filtrer les usurpations dʼidentité. Mettre en place des procédures de sécurité pour les virements bancaires, surtout sʼils sont internationaux (par exemple, signatures multiples). Signaler aux autorités toute tentative de fraude. La fraude interne Il sʼagit de détournements dʼavoirs de clientèle ou dʼentreprise, de création de fausses opérations, de falsification de résultats, pour augmenter sa rémunération, etc. Le fraudeur peut être occasionnel ou récurrent (des petites sommes prélevées très régulièrement), ou encore être embauché pour réaliser la fraude. Il peut aussi travailler en groupe. Tous droits réservés à STUDI - Reproduction interdite 11 Principales menaces et protections Remarque Ce sujet est souvent dérangeant pour les entreprises, car il souligne leurs faiblesses internes, etc., et personne ne souhaite sʼavouer faible ! Il doit néanmoins être pris au sérieux, car il nʼest pas suﬀisamment rare pour être ignoré. Lʼétude des vulnérabilités permet de mettre en évidence que pour se protéger des fraudes internes, il faut : Renforcer les procédures de contrôle interne et de surveillance des opérations, Sʼassurer que les habilitations informatiques sont bien gérées, Vérifier la séparation des tâches, les rotations, Se protéger des accès non autorisés (voir ci-après). Les accès non autorisés Ces accès frauduleux se font via des outils visant à casser les mots de passe trop simples ou encore en recourant à des intrusions dans les systèmes. Des outils permettent de : Tester les mots de passe courants (à lʼaide dʼun dictionnaire), Casser les mots de passe lorsquʼils sont simples. En eﬀet, lʼêtre humain nʼa pas la capacité de mémoriser un grand nombre de mots de passe, surtout sʼils sont complexes. Par ailleurs, les intrusions peuvent se faire via des connexions à distance (depuis Internet, lʼaccès au réseau Wi-Fi de lʼentreprise, etc.). Comment se protéger des accès non autorisés ? En recourant tout dʼabord à des moyens dʼauthentification biométriques (empreintes digitales, reconnaissance faciale, etc.), ou encore à lʼaide de codes SMS, etc. qui permettent de renforcer la sécurité des accès. Lʼinstallation de firewalls (pare-feu) permet de protéger le réseau, cependant on peut également installer des firewalls sur chaque ordinateur pour contrôler les connexions vers et depuis ces postes. Les programmes malveillants (malwares) Les programmes malveillants sont activés par ouverture de la pièce jointe dʼun e-mail, le téléchargement dʼun fichier sur un site web malveillant ou à partir dʼune clé USB, etc. Ils peuvent être simples, dans ce cas ils modifient les paramètres de démarrage du système pour sʼexécuter à chaque lancement : Les bombes logiques sont des programmes qui contiennent une fonction de destruction qui se déclenche de façon diﬀérée si des conditions sont réunies (date, etc.). Le code illicite a été ajouté à un programme hôte qui conserve son apparence anodine. Les chevaux de Troie (Trojan) et les portes dérobées (backdoors) sont utilisés pour prendre le contrôle des ordinateurs et faciliter les intrusions. Le cheval de Troie est un code illicite ajouté à un programme hôte, alors que les portes dérobées sont des programmes illicites dédiés à ce type de méfaits. Les outils de collecte dʼinformations sʼinstallent à lʼinsu des utilisateurs pour collecter et envoyer des informations : le « renifleur de clavier », ou keylogger, récupère des mots de passe, les logiciels espions, ou spywares, capturent des habitudes dʼutilisation à des fins commerciales. Les outils de diﬀusion dʼinformations non désirées comme les publiciels (adwares) fonctionnent souvent avec des spywares pour diﬀuser de la publicité non désirée. Les attaques réseau sont des programmes qui sʼinstallent à lʼinsu des utilisateurs pour attaquer dʼautres machines. 12 Tous droits réservés à STUDI - Reproduction interdite Principales menaces et protections Lorsquʼils sont autoreproducteurs, les programmes malveillants incluent un mécanisme de propagation : Un ver (worm) fonctionne de façon indépendante : il ne modifie aucun programme hôte, mais il peut transporter des portions de code pour le faire. Un virus a besoin dʼun programme hôte pour fonctionner : il est capable de modifier le code dʼun programme pour insérer du code illicite. Les rumeurs, les pourriels, les arnaques et les chaînes Une dernière catégorie dʼéléments malveillants sʼappuie sur lʼutilisation abusive du courrier électronique. Ses conséquences sont généralement une perte de temps (pour éliminer ces messages indésirables) et un encombrement des serveurs dʼe-mails. On peut distinguer diﬀérents types dʼe-mails malveillants : Les rumeurs (hoax) malveillantes et non fondées, qui sont diﬀusées pour leurrer (par exemple, un hoax peut prévenir de lʼarrivée dʼun nouveau virus imaginaire). Les pourriels (spam) correspondent à des courriers répétés et non sollicités à caractère commercial ou de propagande. Les arnaques financières (par exemple, un riche héritier qui propose une récompense substantielle pour récupérer une forte somme dʼargent, via votre compte bancaire). Les chaînes de Saint Antoine sont des messages relatant des faits dramatiques et quʼil faut envoyer à un maximum de personnes (cela a pour eﬀet dʼencombrer les serveurs dʼe-mails). Pour faire face à ces menaces, il faut disposer, en plus des firewalls sur les machines et dʼune dose suﬀisante de bon sens, de trois types de programmes de protection complémentaires : Un antivirus Un anti-espion Un antispam Dans une organisation disposant dʼune infrastructure informatisée et dʼune DSI, le plus rationnel est de filtrer ce qui circule sur le réseau local pour éliminer les dangers avec des logiciels paramétrés et contrôlés par les responsables sécurité et réseaux. Pour les postes individuels, les outils Windows (antivirus et firewall) complètent bien ce dispositif. Du côté des messageries, la protection du serveur de messagerie est essentielle, cʼest à travers ce dernier que passent les e-mails non désirés et ceux porteurs de fichiers dangereux. Les attaques par déni de service distribué Les attaques par déni de service distribué (DDoS pour Distributed Denial of Service attack) consistent à saturer un site web de requêtes (des milliers voire des millions dʼaccès simultanés) et empêchent ainsi les internautes dʼy accéder légitimement (pour faire des achats, accéder à un extranet, etc.). Les attaques DDoS peuvent être lancées à partir de réseaux de machines compromises appelés « botnets ». Source de lʼimage : comprendre et faire face aux attaques de type « DDOS », ANSSI, 2019. Tous droits réservés à STUDI - Reproduction interdite 13 Principales menaces et protections Comment se protéger des attaques DdoS ? Il existe plusieurs solutions, en voici quelques exemples. Combler les failles de sécurité autour de points sensibles (adresses IP critiques) et fournir des ressources matérielles et logicielles pour pouvoir compenser des attaques mineures. Configurer les firewalls afin de rejeter les paquets de données anormaux. Cependant, cela peut poser problème si des utilisateurs enregistrés sur le même proxy lancent des requêtes simultanées et sont ainsi blacklistés ! Répartir les charges sur plusieurs systèmes, ce qui distribue la capacité matérielle disponible (load balancing). Le ransomware (rançongiciel) Le ransomware, rançongiciel ou cryptolocker est un logiciel malveillant qui chiﬀre (crypte) lʼensemble des données de lʼordinateur cible. Une fois installé, il envoie un message de demande de rançon en échange du mot de passe de déchiﬀrement (décryptage). Comment sʼinstalle-t-il ? En général, en profitant dʼune faille de sécurité du système dʼexploitation, de la même manière quʼun virus. Les dégâts peuvent être importants si lʼordinateur cible est un serveur détenant des fichiers ou des bases de données indispensables à lʼactivité de lʼorganisation. Source de lʼimage : comprendre et faire face aux « rançongiciels », ANSSI, 2019. 14 Tous droits réservés à STUDI - Reproduction interdite Principales menaces et protections Pour se protéger des rançongiciels, lʼinfographie suivante (source : ANSSI, 2018) rappelle les règles de bon sens en la matière. Définition Notion de vulnérabilité Faiblesse au niveau dʼun bien (au niveau de la conception, de la réalisation, de lʼinstallation, de la configuration ou de lʼutilisation du bien). Tous droits réservés à STUDI - Reproduction interdite 15 Principales menaces et protections Remarque Une attaque est donc la concrétisation dʼune menace en exploitant une vulnérabilité. Le travail des responsables de la sécurité du SI consiste en la maîtrise des vulnérabilités (soyons réalistes, le risque zéro nʼexiste pas). La protection des locaux La première mesure à mettre en place pour protéger un SI consiste à restreindre lʼaccès aux ordinateurs « sensibles » quʼon aura regroupés dans une pièce sécurisée (et climatisée). Ceci implique de déterminer les éléments à protéger en priorité (cette liste doit être actualisée), mais aussi de : Mettre en place une protection contre les catastrophes naturelles. Sʼassurer que les sauvegardes sont situées dans un emplacement géographique distant et protégé (armoire, coﬀre, pièce construite à lʼaide de matériaux ignifuges, etc.). Installer des solutions contre les coupures et défaillances électriques (onduleurs, etc.). La restriction de lʼaccès sʼeﬀectue généralement par la mise en place dʼun système de type badgeuse. 16 Tous droits réservés à STUDI - Reproduction interdite Principales menaces et protections Remarque À ce propos, il faut savoir que lʼinstallation dʼune badgeuse générique (tout le monde a le même badge) nʼentraîne pas de démarches particulières, alors que lʼutilisation dʼune badgeuse nominative doit respecter le principe de minimisation prévu par le RGPD : les données collectées dans ce cadre doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de cette finalité. La protection du réseau Même si lʼaccès physique aux ordinateurs est restreint, il est possible de sʼy connecter par le réseau. Il est donc nécessaire de mettre en place des mécanismes afin de contrôler ces connexions. Le NAT (Network Address Translation, « Translation dʼAdresse Réseau » en français) est un mécanisme généralement utilisé pour naviguer sur Internet avec une seule adresse IP publique (lʼadresse IP privée est cachée), fournie par le FAI (Fournisseur dʼAccès Internet), ce qui permet de cacher lʼorganisation interne dʼun réseau local. Le serveur mandataire (proxy) est une machine intermédiaire à laquelle sʼadresse le navigateur dʼune personne de lʼentreprise lors de lʼenvoi dʼune requête HTTP : là aussi, on peut cacher lʼorganisation interne dʼun réseau local (seul le serveur proxy est connu à lʼextérieur). Mais on peut aussi mettre en place des règles de filtrage (pour empêcher les salariés de se rendre sur des sites non autorisés ou de télécharger de façon illégale). Le firewall (pare-feu ou coupe-feu) est une machine (généralement un routeur) dans laquelle lʼadministrateur du réseau a écrit des règles de filtrage pour gérer le routage ou la destruction de paquets IP. La DMZ (DeMilitarized Zone) est une partie du réseau local de lʼentreprise qui contient certaines machines de lʼentreprise qui doivent être accessibles depuis lʼextérieur (par exemple, le serveur web doit pouvoir être accessible aux requêtes de lʼinternaute) ou qui servent de tampon entre la partie privée du réseau et lʼinternaute (cʼest le cas du proxy). Exemple de mise en œuvre de DMZ Prenons le cas dʼune zone démilitarisée (DMZ) hébergeant le site web dʼune entreprise au sein dʼun serveur dédié, qui serait située entre deux pare-feu (firewall) : Un premier pare-feu, situant la frontière entre le réseau public (Internet) et la zone démilitarisée (serveurs web), permet lʼaccès de lʼextérieur afin de favoriser lʼéchange et la collaboration. Il bloque les attaques majeures et laisse passer certains accès nécessaires. Le deuxième pare-feu, situé à la jonction de la DMZ et du réseau local, ne laisse pas passer les connexions extérieures (cʼest une protection renforcée de lʼentreprise face aux attaques extérieures, car un pirate pourrait utiliser ce chemin pour sʼintroduire dans le réseau privé). Tous droits réservés à STUDI - Reproduction interdite 17 Principales menaces et protections Remarque Une DMZ peut sʼappuyer sur un seul pare-feu à trois interfaces, cʼest-à-dire quʼil est raccordé à 3 réseaux : internet (via un routeur), la DMZ de lʼentreprise, dans lequel on place les éléments accessibles depuis lʼextérieur, et enfin le réseau local protégé de lʼentreprise. La protection du réseau local sans fil La portée moyenne dʼune borne Wi-Fi est de 100 m en champ libre et les ondes électromagnétiques traversent les murs. Si une personne extérieure souhaite se connecter à un réseau sans fil, il lui suﬀit de disposer dʼune antenne dans le champ dʼémission. Pour protéger ce type de réseau, il faut donc recourir au cryptage des communications entre les ordinateurs et la borne Wi-Fi. Le recours au mécanisme WPA 2, évolution du WPA qui utilise plusieurs clés temporaires à chaque connexion (même si un pirate découvre une clé, il ne pourra lʼutiliser quʼun court laps de temps), est à préconiser. La protection des échanges de messages et de fichiers Les besoins de sécurisation des communications avec les autres réseaux locaux distants et les réseaux des partenaires demandent des solutions adaptées. Le VPN (Virtual Private Network), ou RPV (Réseau Privé Virtuel), en est une. La création de réseau privé virtuel VPN/RPV consiste à utiliser des routeurs spéciaux (disposant dʼune fonctionnalité VPN) pour crypter les communications qui doivent emprunter un réseau public comme Internet. Ce mécanisme peut être étendu au cas des collaborateurs nomades qui sont amenés à se déplacer sur un chantier, chez un client. Ainsi, ils peuvent prendre des ordinateurs portables ou ultraportables et se connecter en extranet à la partie privée du réseau de lʼentreprise afin de récupérer des données ou même dʼaccéder à des applications internes (PGI / ERP par exemple). Lʼordinateur distant doit disposer dʼun logiciel qui crypte / décrypte les communications afin de pouvoir communiquer avec le routeur VPN interne. Lʼoﬀre de services externalisée est abondante et financièrement intéressante pour des petites entreprises ou des professionnels individuels qui souhaitent sʼabonner à ces services. 18 Tous droits réservés à STUDI - Reproduction interdite Exercice : Quizsolution Attention Analyser la fiabilité des procédures et des traitements Il faut être capable de repérer les pratiques qui remettent en cause la sécurité des échanges de données et de lʼorganisation. Ceci nécessite de réaliser régulièrement des tests de mise en situation, des audits du Plan de Continuité dʼActivité (PCA) ou encore des simulations dʼattaques. Ces tests sont réalisés par des ESN dans un contexte qui favorise lʼobtention de résultats probants : certains se font sans en informer les acteurs du SI afin de contrôler leurs réflexes en situation quasi réelle. Exercice : Quiz [solution n°2 p.32] Question 1 Tous les risques :  Doivent être surveillés  Nʼont pas la même criticité  Touchent aux processus stratégiques Question 2 Tous droits réservés à STUDI - Reproduction interdite 19 Exercice : Quizsolution Lʼhameçonnage :  Est une attaque de serveurs  Ne peut être détourné (on ne peut sʼen prémunir)  Cʼest le phishing  Consiste en la récupération de données personnelles sur Internet Question 3 Le social engineering :  Est une attaque via les réseaux sociaux  Est par exemple lʼarnaque au président  Sʼappuie sur lʼusage de la persuasion Question 4 Sélectionnez les programmes malveillants :  Lʼarnaque au président  Les vers  Les hoax  Les chevaux de Troie Question 5 Un ransomware :  Est un keylogger  Est un rançongiciel  Consiste à saturer un site web de requêtes  Est un cryptolocker  Crypte lʼensemble des données de lʼordinateur cible Question 6 Cochez les définitions qui sont exactes  Le NAT est une machine intermédiaire à laquelle sʼadresse le navigateur lors de lʼenvoi dʼune requête HTTP  Le firewall est une machine dans laquelle l'administrateur du réseau a écrit des règles de filtrage pour gérer le routage ou la destruction de paquets IP  Le firewall est une machine intermédiaire à laquelle sʼadresse le navigateur lors de lʼenvoi dʼune requête HTTP  Le NAT est une partie du réseau local de l'entreprise qui contient certaines machines de l'entreprise qui doivent être accessibles depuis l'extérieur  Le NAT est un mécanisme généralement utilisé pour naviguer sur Internet avec une seule adresse IP publique 20 Tous droits réservés à STUDI - Reproduction interdite Responsabilités des acteurs dans la sécurité du SI VI. Responsabilités des acteurs dans la sécurité du SI Le Responsable de la Sécurité des Systèmes dʼInformation (RSSI) Selon les préconisations du CLUSIF, les organisations devraient nommer un RSSI (Responsable de la Sécurité des Systèmes dʼInformation) chargé de la mise en œuvre de la politique de sécurité. Dans les grandes structures, ce RSSI peut être rattaché à la direction générale ou à la direction de lʼaudit interne plutôt quʼà la Direction des Systèmes Informatiques (DSI), compte tenu des enjeux financiers et juridiques. Remarque Ceci nʼempêche pas que la DSI dispose en son sein de spécialistes de la sécurité et quʼils soient regroupés dans un service dédié à la sécurité. Le rôle du RSSI est plutôt dʼêtre à lʼécoute permanente des signaux qui pourraient se transformer en menaces directes sur le SI. Il doit aussi travailler à la mise en cohérence de la stratégie de lʼentreprise et de la sécurisation des applications et des données informatiques. Il peut aussi peser dans les arbitrages budgétaires pour que les investissements de sécurité ne soient pas négligés. Les Plans de Reprise dʼActivité (PRA, après incident) ou de Continuité dʼActivité (PCA, ensemble de dispositifs assurant une continuité de services) des applications informatiques essentielles à la vie de lʼorganisation (comptabilité, paie, gestion de production, gestion commerciale, etc.) doivent être prévus. Le rôle du RSSI est dʼen vérifier la cohérence en relation avec la direction générale, les directions opérationnelles et la DSI. Ces plans sont une charge budgétaire quʼil faut prévoir et pérenniser. Parmi les actions du RSSI, on trouve la formation et la sensibilisation du personnel aux problèmes de sécurité : Informer quant aux risques engendrés par certains comportements (divulgation de mot de passe, etc.), Interdire la désactivation des mécanismes de sécurité, Favoriser lʼalerte du personnel auprès du RSSI en cas de comportements non appropriés ou conduisant à des menaces sur lʼintégrité du SI, Élaborer et faire signer une charte dʼutilisation des matériels, des réseaux et des logiciels de lʼorganisation, diﬀuser les bonnes pratiques de protection du patrimoine informationnel de lʼorganisation, etc. Tous droits réservés à STUDI - Reproduction interdite 21 Responsabilités des acteurs dans la sécurité du SI Le rôle du facteur humain dans la sécurité du SI Le rôle du SI étant essentiel dans la préservation des données de lʼorganisation, la vigilance de chaque acteur est nécessaire afin de prévenir les risques. Lʼutilisateur nʼest pas un spécialiste, mais il doit saisir les enjeux de la sécurité du SI pour contribuer à la pérennité de lʼorganisation. Lʼutilisateur est souvent le maillon faible au sein dʼun système sécurisé. Exemple Posséder un mot de passe complexe nʼest nullement un gage de sécurité si ce dernier est noté sur un mémo collé à lʼécran ! Par ailleurs, les attaques liées au social engineering ou au phishing sollicitent des leviers psychologiques auxquels un ordinateur ne serait pas sensible : naïveté, peur du ridicule, stress, etc. Dans ce contexte, il faut sʼassurer que lʼutilisateur : Connaît la charte informatique, Développe des compétences numériques, Participe aux formations liées aux bonnes pratiques informatiques, Prend conscience des enjeux autour de la sécurité du SI (dont le RGPD), 22 Tous droits réservés à STUDI - Reproduction interdite Responsabilités des acteurs dans la sécurité du SI Peut identifier lʼinterlocuteur adéquat et dans ce cadre connaître le rôle et les missions du responsable de la sécurité (RSSI sʼil existe). Remarque Pour que la charte informatique soit connue de lʼutilisateur, il faut bien entendu garantir son accessibilité (via lʼintranet par exemple), sa prise de connaissance (les services RH ont un rôle à jouer suite au recrutement dʼun collaborateur) et son actualisation (fruit dʼun travail collectif de réflexion régulière). Il peut être exigé que lʼutilisateur signe/mentionne explicitement son consentement. Les bonnes pratiques informatiques Selon lʼANSSI, « la sécurité du numérique est lʼaﬀaire de tous » et doit être une priorité pour lʼentreprise. Lʼagence rappelle que chaque acteur doit en premier lieu sécuriser son informatique personnelle, en plus de sʼassurer que lʼentreprise met en place un niveau de sécurité suﬀisant. Bonnes pratiques - 12 règles essentielles (source : ANSSI) Les bonnes pratiques suivantes précisent comment il est possible de prévenir les risques au quotidien en commençant par réfléchir à sa responsabilité individuelle. Rôle individuel de chaque acteur : Choisir avec soin ses mots de passe et les garder confidentiels , Séparer les usages personnels des usages professionnels, Prendre soin de ses informations personnelles, professionnelles et de son identité numérique , Être aussi prudent avec son smartphone/tablette quʼavec son ordinateur. Relations externes : Être prudent lors de lʼutilisation de sa messagerie, Bien connaître ses utilisateurs et ses prestataires, Être vigilant lors dʼun paiement sur Internet, Protéger ses données lors de ses déplacements. Tous droits réservés à STUDI - Reproduction interdite 23 Exercice : Quizsolution Sphères professionnelle et privée : Eﬀectuer des sauvegardes régulières, Mettre à jour régulièrement vos logiciels, Télécharger ses programmes sur les sites oﬀiciels des éditeurs, Sécuriser lʼaccès Wi-Fi de votre entreprise. Complément Un guide complet ainsi que dʼautres ressources ludiques sont disponibles à lʼadresse : ANSSI1 Exercice : Quiz [solution n°3 p.33] Question 1 Le Responsable de la Sécurité du SI (RSSI) :  Doit être rattaché à la direction générale ou à la direction de lʼaudit interne  Est chargé de la mise en œuvre de la politique de sécurité  Peut être rattaché à la direction générale ou à la direction de lʼaudit interne Question 2 Le Responsable de la sécurité du SI (RSSI) :  Est le représentant de la CNIL  A un rôle de formation et de sensibilisation  Est responsable devant la CNIL de lʼapplication du RGPD Question 3 La nomination dʼun Responsable de la sécurité du SI (RSSI) est obligatoire.  Vrai  Faux Question 4 Chaque acteur de lʼorganisation :  Doit être un spécialiste de la sécurité des SI  Doit être vigilant  Nʼest pas vraiment responsable de la sécurité du SI  Doit saisir les enjeux de la sécurité du SI Question 5 1 https://www.ssi.gouv.fr/guide/la-cybersecurite-pour-les-tpepme-en-treize-questions/ 24 Tous droits réservés à STUDI - Reproduction interdite Sauvegardes et restauration du SI Le RSSI doit :  Être plutôt discret  Diﬀuser les bonnes pratiques auprès des utilisateurs  Travailler à actualiser et diﬀuser la charte informatique VIII. Sauvegardes et restauration du SI Objectifs de la sauvegarde des données Lʼétude des principaux outils de protection, de sauvegarde et de restauration de données est réalisée dans le but de protéger les données et les traitements et de planifier la reprise dʼactivité après incident. Les objectifs à atteindre sont les suivants : Conserver la disponibilité des données Garantir leur intégrité (inaltérabilité) Exemple Il est nécessaire de stocker les archives dʼune entreprise, pour des raisons de conformité légale ou pour maintenir lʼintégrité de lʼorganisation. Par ailleurs, une demande dʼaudit ou encore la nécessaire résolution dʼun litige peuvent nécessiter le recours aux sauvegardes dʼarchives. Ces informations archivées nʼont pas besoin dʼêtre régulièrement consultées, mais dans ces cas précis il faut garantir que les données nʼont pas été altérées, et aussi fournir un accès facilité à ces sauvegardes. Complément La stratégie de sauvegarde 3-2-1 Cette méthode est adaptée aux données qui sont très diﬀicilement reconstituables, il sʼagit de règles qui permettent dʼoptimiser les performances de la sauvegarde : 3 copies dʼun même fichier (1 fichier dʼusage et 2 sauvegardes) 2 supports diﬀérents (dont 1 indépendant du poste de travail) 1 sauvegarde « hors site » Localisation des sauvegardes La technique la plus simple et la plus ancienne pour se prémunir contre la perte de données consiste simplement à eﬀectuer régulièrement des sauvegardes de secours en utilisant des bandes ou cassettes magnétiques, des CD ou des DVD, des disques amovibles (clés USB, disques SSD, disques magnétiques). Suivant le contexte organisationnel (grande entreprise, TPE, poste individuel, etc.), telle ou telle solution sera à privilégier. Le principe directeur est de définir le périmètre à sauvegarder puis dʼadapter la sauvegarde aux enjeux : fréquence, supports et lieux adaptés. Lʼétude des principaux outils de protection, de sauvegarde et de restauration de données est réalisée dans le but de protéger les données et les traitements et de planifier la reprise dʼactivité après incident. Attention Pour réduire les risques de perte et de destruction de lʼensemble des données, on privilégiera un stockage distant des sauvegardes, dans un espace protégé. Tous droits réservés à STUDI - Reproduction interdite 25 Sauvegardes et restauration du SI Solution locale de sauvegarde La TPE (situation fréquente pour un cabinet comptable) eﬀectue des sauvegardes sur le serveur local, soit sur des supports bandes soit sur des disques. Ces solutions demandent une grande rigueur dans le déclenchement des sauvegardes, dans la mise en sécurité des supports et dans la vérification périodique de leur bon état et de la récupération possible des sauvegardes. Elles impliquent de rédiger une procédure détaillée et de désigner des responsables de ces sauvegardes. La solution Internet Désormais, beaucoup de prestataires proposent des sauvegardes automatisées des serveurs locaux et/ou des postes de travail individuels. Ceci suppose une bonne connexion Internet, puisque les flux de données sont transmis vers les datacenters des prestataires, par exemple en dehors des horaires de travail. Les petites et moyennes structures choisissent de plus en plus dʼadopter des solutions cloud. La solution grande entreprise Cʼest une des missions de la DSI dʼorganiser ces sauvegardes, soit dans les centres de traitement dans ses locaux, soit dans des datacenters extérieurs. Là aussi, la tendance cloud est très aﬀirmée. Mais pour les sauvegardes, qui souvent comprennent des données sensibles ou stratégiques, la solution cloud privé est privilégiée (ensemble de services de calcul accessibles via Internet ou un réseau interne privé à un ensemble restreint dʼutilisateurs sélectionnés plutôt quʼau grand public). Remarque Également appelé « cloud interne » ou « cloud dʼentreprise », le cloud computing privé oﬀre aux entreprises bon nombre des avantages dʼun cloud public (dont le libre-service, lʼextensibilité et lʼélasticité), auxquels sʼajoutent les possibilités de contrôle et de personnalisation que permettent des ressources dédiées sur une infrastructure de calcul hébergée localement. De plus, les clouds privés oﬀrent un niveau de sécurité et de confidentialité supérieur, résultant des pare-feu de lʼentreprise et de lʼhébergement interne, qui garantissent que les opérations et les données sensibles ne sont pas accessibles à des fournisseurs tiers. Un inconvénient, cʼest quʼil incombe au service informatique de lʼentreprise de maîtriser les coûts et dʼassurer la gestion du cloud privé. Ainsi, un cloud privé occasionne les mêmes dépenses en personnel, gestion et maintenance que la propriété dʼun centre de données traditionnel. Les méthodes de sauvegarde À côté des sauvegardes génériques, des sauvegardes spécifiques peuvent être réalisées au besoin. On distingue généralement les méthodes suivantes : La sauvegarde complète, longue et coûteuse, qui nécessite de copier lʼensemble des données. La sauvegarde diﬀérentielle qui ne conserve que les données modifiées depuis la dernière sauvegarde complète. La sauvegarde incrémentale (ou incrémentielle) qui conserve les données modifiées depuis la dernière sauvegarde, quelle que soit la méthode associée. Le disk mirroring, qui duplique automatiquement et en temps réel les contenus écrits sur les postes au sein dʼun support distinct (un serveur de sauvegarde par exemple). Ce mécanisme de redondance assure une sauvegarde en continu des données. 26 Tous droits réservés à STUDI - Reproduction interdite Sauvegardes et restauration du SI Exemple Le système RAID (Redundant Array of Independent Disks) est une solution qui permet la mise en miroir en répliquant les données entre plusieurs disques. Ainsi, la disponibilité est élevée et la tolérance aux pannes est plus forte. La solution RAID 0 répartit les données sur lʼensemble des disques, ainsi la lecture simultanée est plus rapide (au même titre que lʼécriture). La solution RAID 1 propose dʼassurer la continuité des activités lors dʼune défaillance dʼun disque, car les données sont répliquées à lʼidentique sur dʼautres disques. Le RAID 10 combine les avantages des deux solutions précédentes (remplacé par le RAID 5 qui oﬀre les mêmes performances). Remarque Le terme snapshot est utilisé pour désigner une sauvegarde instantanée (une « capture ») réalisée dans le but de créer un point de restauration. Cette sauvegarde est placée sur un autre disque, et elle présente lʼintérêt de proposer un « retour en arrière » (rollback) afin de reprendre son travail après un incident. Politique/stratégie de sauvegarde La définition dʼune politique/stratégie de sauvegarde conduit à recourir à plusieurs méthodes. On peut déterminer par exemple quʼen temps normal, une sauvegarde complète est réalisée chaque semaine, tandis quʼune sauvegarde diﬀérentielle est réalisée chaque jour (en fin de journée) et quʼon procédera à une sauvegarde incrémentale à chaque fin dʼheure ouvrable. Ceci sera réajusté lors de périodes décisives pour lʼactivité (gros volumes dʼachats, par exemple). Remarque Le recours à des sauvegardes diﬀérentielles ou incrémentales permet de gagner du temps et de lʼespace de stockage sur lʼinstant. Par contre, au moment de reconstituer les données complètes (en cas de restauration par exemple), le mécanisme est plus long à mettre en œuvre. Exemple Un incident survenu un jeudi à 14 h 50 peut nécessiter de reconstruire les données à partir de toutes les sauvegardes suivantes : Sauvegarde complète du vendredi précédent, à 20 h. Trois sauvegardes diﬀérentielles réalisées les lundi, mardi et mercredi précédents. Diﬀérentes sauvegardes incrémentielles réalisées depuis le début de journée. Les données non sauvegardées depuis la dernière sauvegarde incrémentielle (réalisée 50 minutes auparavant) seront perdues. Outils et méthodes de restauration des données En cas dʼincident (panne, malveillance, etc.), on doit être capable de reconstituer les données et applications. Remarque Il en va à la fois de la survie de lʼactivité, mais aussi de la préservation de lʼimage/réputation de lʼorganisation ! Tous droits réservés à STUDI - Reproduction interdite 27 Auto-évaluation Des procédures de restauration permettent de définir les actions à mettre en œuvre (diagnostics puis restaurations) et les acteurs associés. Elles incluent aussi des tests réguliers des solutions de sauvegarde afin dʼéprouver la qualité de celles-ci. Ainsi, un PRA (Plan de Reprise dʼActivité) désigne lʼensemble des procédures et moyens matériels, technologiques et humains permettant de rétablir et de redémarrer lʼactivité de lʼentreprise après la survenue dʼun incident. Le PCA (Plan de Reprise dʼActivité), quant à lui, est complémentaire du PRA (mais on peut aussi le dire dans lʼautre sens), car il organise la poursuite des activités de lʼentreprise en cas dʼincident, et ce, sans interruption : on bascule sur un SI « miroir » et les processus vitaux sont préservés. IX. Auto-évaluation Exercice 1 : Quiz [solution n°4 p.35] Question 1 Une sauvegarde doit se faire en interne, à proximité des postes.  Vrai  Faux Question 2 Une sauvegarde ne doit pas se faire dans le cloud.  Vrai  Faux Question 3 28 Tous droits réservés à STUDI - Reproduction interdite Lʼessentiel Une sauvegarde incrémentielle conserve les données modifiées depuis la dernière sauvegarde complète.  Vrai  Faux Question 4 Un cloud privé :  Est un cloud dʼentreprise  Oﬀre le même niveau de sécurité et de confidentialité que le cloud public  Permet des économies de maintenance par rapport à un datacenter  Oﬀre la possibilité du libre-service Question 5 Le PCA :  Est la même chose que le PRA  Concerne le redémarrage après accident  Organise la poursuite des activités en cas dʼincident, et ce, sans interruption  Aucune des réponses X. Lʼessentiel « Le numérique sʼimpose dans les échanges entre acteurs économiques comme un facteur de compétitivité, mais aussi comme une contrainte résultant dʼobligations de plus en plus nombreuses. Le fonctionnement des échanges numériques conduit à sʼinterroger sur lʼutilisation des données stockées, sur leur sécurité, puis à trouver des solutions pour y répondre. Les données constituent une ressource vitale pour les organisations, tant au plan opérationnel pour la gestion de ses processus, quʼau niveau stratégique pour la prise de décision. Dans ce contexte, la sécurisation du système dʼinformation est un enjeu de premier plan. Chaque acteur au sein du SI doit connaître et mettre en œuvre les règles de bases de la sécurité informatique (physique et logique), notamment les accès aux réseaux et lʼutilisation dʼInternet. Il sʼagit dʼidentifier lʼensemble des risques externes ou internes qui menacent une organisation, de savoir comment le facteur humain est déterminant en matière de sécurité informatique, comment et par qui cette politique de sécurité est mise en œuvre. » (Guide pédagogique UE8.) Solutions des exercices Tous droits réservés à STUDI - Reproduction interdite 29 Solutions des exercices Exercice p. 8 Solution n°1 Question 1 Il faut sécuriser le SI, car :  Les malveillances sont toujours volontaires (destruction de lʼentreprise)  Les humains doivent être protégés  Les sites physiques doivent être protégés La sécurisation du SI est un enjeu de premier plan, car les actifs supports doivent être protégés, quʼil soit question dʼhumains, de sites physiques, de logiciels, etc. Par ailleurs, les incidents ont souvent une origine humaine, mais non intentionnelle. Question 2 Cʼest à cause du RGPD que les entreprises doivent dorénavant sécuriser leur SI.  Vrai  Faux On sécurise le SI pour limiter les impacts financiers dʼun incident, préserver lʼimage de lʼorganisation, réduire les impacts juridiques, etc., et ceci est nécessaire depuis toujours (le RGPD est apparu en 2018). Question 3 Les critères de la sécurité du SI sont :  Intégrité, saisonnalité et ultra stylé  Disponibilité, intégrité, confidentialité et preuve  Disponibilité, intégrité, confidentialité, non-répudiation, imputabilité, traçabilité  Aucune des réponses Les critères de la sécurité sont la disponibilité, lʼintégrité, la confidentialité, la non-répudiation, lʼimputabilité et la traçabilité. Ces 3 derniers critères correspondent à la notion de preuve. Un procédé mnémotechnique pour retenir : DICP ! Question 4 La capacité de reconstituer a posteriori le flux dʼune donnée ou dʼun traitement en associant à des activités des identités, cʼest :  La traçabilité  La non-répudiation  La disponibilité La traçabilité est la capacité de reconstituer a posteriori le flux dʼune donnée ou dʼun traitement en associant à des activités des identités (acteurs humains ou immatériels) et des dates. Ces traces sont enregistrées de manière à être reproduites par la suite. Tous droits réservés à STUDI - Reproduction interdite 31 Solutions des exercices Question 5 Pour assurer la non-répudiation dʼune transaction, on peut recourir à :  Un certificat numérique  Une clé USB  Un mot de passe Lʼusage dʼun certificat électronique/numérique dans une transaction permet, ultérieurement, de prouver lʼidentité du propriétaire de ce dernier. Ainsi, la répudiation de la transaction nʼest pas possible. Exercice p. 19 Solution n°2 Question 1 Tous les risques :  Doivent être surveillés  Nʼont pas la même criticité  Touchent aux processus stratégiques Des priorités doivent être établies pour suivre les risques les plus graves, car touchant à des processus stratégiques (satisfaction du client, création de valeur, etc.). Question 2 Lʼhameçonnage :  Est une attaque de serveurs  Ne peut être détourné (on ne peut sʼen prémunir)  Cʼest le phishing  Consiste en la récupération de données personnelles sur Internet Le phishing/hameçonnage consiste en la récupération des données personnelles sur Internet. Lʼattaquant abuse de la naïveté des personnes en utilisant, par exemple, un e-mail reprenant les logos et couleurs dʼune entreprise (une banque, un e-commerçant, une plateforme de streaming, etc.) et demandant une mise à jour du mot de passe (renvoi vers une contrefaçon du site contenant un formulaire). Avant de cliquer sur un lien douteux, en positionnant le curseur de la souris sur ce lien (sans cliquer), on peut repérer la fraude. Question 3 Le social engineering :  Est une attaque via les réseaux sociaux  Est par exemple lʼarnaque au président  Sʼappuie sur lʼusage de la persuasion Il sʼagit de recourir à des leviers psychologiques chez la victime (urgence, peur de perdre son poste, etc.) pour lui extorquer des informations (coordonnées, etc.) sans quʼelle sʼen rende compte. Ce procédé, qui ne nécessite pas de compétences techniques pointues, permet de dérober des informations confidentielles, ou encore de convaincre la victime dʼinstaller des logiciels malveillants, etc., et ce, par lʼusage de la persuasion. Exemples : lʼarnaque au président, lʼarnaque au changement de RIB, etc. 32 Tous droits réservés à STUDI - Reproduction interdite Solutions des exercices Question 4 Sélectionnez les programmes malveillants :  Lʼarnaque au président  Les vers  Les hoax  Les chevaux de Troie Les programmes malveillants sont activés par ouverture de la pièce jointe dʼun e-mail, le téléchargement dʼun fichier sur un site web malveillant ou à partir dʼune clé USB, etc. : ce sont les bombes logiques, vers, virus, chevaux de Troie, etc. Lʼarnaque au président est basée sur le social engineering, tandis que les hoax sont des rumeurs constituant des courriels encombrants. Question 5 Un ransomware :  Est un keylogger  Est un rançongiciel  Consiste à saturer un site web de requêtes  Est un cryptolocker  Crypte lʼensemble des données de lʼordinateur cible Le ransomware, rançongiciel ou cryptolocker est un logiciel malveillant qui chiﬀre (crypte) lʼensemble des données de lʼordinateur cible. Les attaques par déni de service distribué (DDoS pour Distributed Denial of Service attack) consistent à saturer un site web de requêtes. Le renifleur de clavier ou keylogger sert à récupérer des mots de passe. Question 6 Cochez les définitions qui sont exactes  Le NAT est une machine intermédiaire à laquelle sʼadresse le navigateur lors de lʼenvoi dʼune requête HTTP  Le firewall est une machine dans laquelle l'administrateur du réseau a écrit des règles de filtrage pour gérer le routage ou la destruction de paquets IP  Le firewall est une machine intermédiaire à laquelle sʼadresse le navigateur lors de lʼenvoi dʼune requête HTTP  Le NAT est une partie du réseau local de l'entreprise qui contient certaines machines de l'entreprise qui doivent être accessibles depuis l'extérieur  Le NAT est un mécanisme généralement utilisé pour naviguer sur Internet avec une seule adresse IP publique Le NAT est un mécanisme généralement utilisé pour naviguer sur Internet avec une seule adresse IP publique, tandis que le proxy est une machine intermédiaire à laquelle sʼadresse le navigateur d'une personne de l'entreprise lors de lʼenvoi dʼune requête HTTP. Le firewall est une machine (généralement un routeur) dans laquelle l'administrateur du réseau a écrit des règles de filtrage pour gérer le routage ou la destruction de paquets IP. Enfin, la DMZ est une partie du réseau local de l'entreprise qui contient certaines machines de l'entreprise qui doivent être accessibles depuis l'extérieur. Exercice p. 24 Solution n°3 Tous droits réservés à STUDI - Reproduction interdite 33 Solutions des exercices Question 1 Le Responsable de la Sécurité du SI (RSSI) :  Doit être rattaché à la direction générale ou à la direction de lʼaudit interne  Est chargé de la mise en œuvre de la politique de sécurité  Peut être rattaché à la direction générale ou à la direction de lʼaudit interne Le RSSI a un rôle stratégique, voilà pourquoi il peut être rattaché à la DG ou à la direction de lʼaudit interne plutôt quʼà la DSI, compte tenu des enjeux financiers et juridiques. Question 2 Le Responsable de la sécurité du SI (RSSI) :  Est le représentant de la CNIL  A un rôle de formation et de sensibilisation  Est responsable devant la CNIL de lʼapplication du RGPD Le responsable des traitements rend des comptes à la CNIL sur lʼutilisation des données, le RSSI à un rôle de conseil aux côtés du délégué aux données personnelles (DPO/DPD). Le RSSI forme et sensibilise les acteurs de lʼentreprise aux bonnes pratiques. Question 3 La nomination dʼun Responsable de la sécurité du SI (RSSI) est obligatoire.  Vrai  Faux Le CLUSIF recommande la nomination dʼun RSSI chargé de la mise en œuvre de la politique de sécurité. Toutes les organisations nʼont pas les moyens dʼen désigner un. Question 4 Chaque acteur de lʼorganisation :  Doit être un spécialiste de la sécurité des SI  Doit être vigilant  Nʼest pas vraiment responsable de la sécurité du SI  Doit saisir les enjeux de la sécurité du SI La vigilance de chaque acteur est nécessaire afin de prévenir les risques. Lʼutilisateur est souvent le maillon faible au sein dʼun système sécurisé. Il nʼest pas un spécialiste, mais il doit saisir les enjeux de la sécurité du SI pour contribuer à la pérennité de lʼorganisation. Question 5 Le RSSI doit :  Être plutôt discret  Diﬀuser les bonnes pratiques auprès des utilisateurs  Travailler à actualiser et diﬀuser la charte informatique 34 Tous droits réservés à STUDI - Reproduction interdite Solutions des exercices Le RSSI doit être connu à travers son rôle et ses missions. Il travaille à construire et diﬀuser la charte informatique. Exercice p. 28 Solution n°4 Question 1 Une sauvegarde doit se faire en interne, à proximité des postes.  Vrai  Faux Pour réduire les risques de perte et de destruction de lʼensemble des données, on privilégie un stockage distant des sauvegardes, dans un espace protégé. Question 2 Une sauvegarde ne doit pas se faire dans le cloud.  Vrai  Faux Beaucoup de prestataires proposent des sauvegardes automatisées des serveurs locaux et/ou des postes de travail individuels. Les petites et moyennes structures choisissent de plus en plus dʼadopter des solutions cloud. Question 3 Une sauvegarde incrémentielle conserve les données modifiées depuis la dernière sauvegarde complète.  Vrai  Faux La sauvegarde incrémentale (ou incrémentielle) conserve les données modifiées depuis la dernière sauvegarde, quelle que soit la méthode associée. La sauvegarde diﬀérentielle ne conserve que les données modifiées depuis la dernière sauvegarde complète. Question 4 Un cloud privé :  Est un cloud dʼentreprise  Oﬀre le même niveau de sécurité et de confidentialité que le cloud public  Permet des économies de maintenance par rapport à un datacenter  Oﬀre la possibilité du libre-service Également appelés « clouds dʼentreprise », les clouds privés oﬀrent un niveau de sécurité et de confidentialité supérieur au cloud public résultant des pare-feu de lʼentreprise et de lʼhébergement interne. Il occasionne les mêmes dépenses en personnel, gestion et maintenance que la propriété dʼun centre de données traditionnel. Par ailleurs, il oﬀre aux entreprises bon nombre des avantages dʼun cloud public (dont le libre-service, lʼextensibilité et lʼélasticité). Tous droits réservés à STUDI - Reproduction interdite 35 Solutions des exercices Question 5 Le PCA :  Est la même chose que le PRA  Concerne le redémarrage après accident  Organise la poursuite des activités en cas dʼincident, et ce, sans interruption  Aucune des réponses Le PCA (Plan de Continuité dʼActivité) est complémentaire du PRA (Redémarrage Après Accident), car il organise la poursuite des activités de lʼentreprise en cas dʼincident, et ce, sans interruption : on bascule sur un SI « miroir », et lʼactivité peut ainsi se poursuivre afin que les processus vitaux soient préservés. 36 Tous droits réservés à STUDI - Reproduction interdite

Sécurité du système d'information PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue