Divers épisodes médiatiques ont éveillé les esprits aux risques informatiques qu'encourent les entreprises, sans forcément attribuer à chaque risque la part qu'il mérite.
On peut définir la sécurité d'une entreprise comme l'état de non-risque (ou de risque raisonnablement contenu).
Mais c'est surtout une activité de tous les instants, d'abord une affaire de bon sens : inutile de mettre des barreaux aux fenêtres si on laisse la porte ouverte.

Il y a quelques années, certains considéraient les auteurs de virus comme des génies, d'autres l'informatique globale (Big Brother), comme le symbole de l'aliénation moderne.
Il n'en est rien, l'opinion sait maintenant qu'un virus n'est généralement pas un programme très sophistiqué, son auteur est avant tout un imbécile pervers qui aurait dû utiliser ses connaissances autrement et l'informatique n'est qu'un moyen de conserver et transmettre les informations, bonnes ou mauvaises.

Le fait de s'introduire et de se maintenir dans un système informatique sans autorisation est un délit puni par la loi. En cas d'incident, il ne faut pas hésiter à porter plainte.
Pour éviter d'être dans cette situation, il est possible de prendre un minimum de précautions classiques.

Le DoS (Denial of Service), c'est l'attaque d’un hacker cherchant à rendre un ordinateur hors service en le submergeant de trafic inutile.
Par exemple, un serveur entièrement occupé à répondre à des fausses demandes de connexion et qui refuse les connexions normales (c'est le déni de service).

On ne peut plus seulement vérifier l'identité de celui qui se connecte au réseau de l'entreprise. Il faut également vérifier que la machine utilisée est saine.
C'est le rôle du protocole NAC proposé par Cisco.

Rien à voir avec l'informatique, ou si peu...
Si l'escroquerie utilise maintenant les nouvelles technologies comme un bon vieux stylo, elle relève toujours du faux et usage de faux.
Reste que la nouveauté technologique, l'effet de surprise, quelques bricolages faciles et une diffusion de masse nourrissent l'imagination des escrocs. Comme Internet se joue des frontières, le terrain de jeu est vaste. Voici quelques exemples.

Il n'y a pas que le spam qui engorge les canaux de communication.
D'après le rapport de Tumbleweed, fournisseur d'appliances de sécurisation des emails, le « trafic sombre » (messages parasites ) représenterait maintenant plus de 80 % des messages entrants dans l'entreprise : une pollution et surtout un vrai danger.

L'audit de sécurité doit être réalisé par une personne ou mieux une société spécialisée (ou disposant d'un département spécialisé). En effet, c'est un problème de méthodologie, où les règles changent en permanence, puisque les faiblesses des systèmes apparaissent tous les jours au même rythme que les systèmes eux-mêmes.

La télémaintenance est un facteur important de sécurité en permettant la surveillance, la maintenance et le dépannage rapides des divers appareillages désormais indispensables à la vie de l'entreprise.
Malheureusement, ces appareils, de part leur liaison avec l'extérieur et leur niveau de sécurisation mal contrôlé, sont souvent de véritables ventres mous.

Le plan de continuité d'entreprise est composé :

• de mesures de prévention, pour diminuer la probabilité d'occurrence d'une défaillance,
• de mesures de détection et de réaction, en ayant de bon réflexe,
• de plans de secours, pour diminuer les conséquences du sinistre.

Les télétravailleurs prétendent connaître les problèmes de sécurité, mais la plupart ont un comportement en ligne risqué
L'étude réalisée par InsightExpress pour Cisco auprès de 1 000 télétravailleurs, dans 10 pays ( (États-Unis, Royaume-Uni, France, Allemagne, Italie, Japon, Chine, Inde, Australie et Brésil), révèle des contradictions dans l’utilisation à distance de son ordinateur professionnel, la France est l’un des pays les plus disciplinés.
Près de 7 personnes sur 10 déclarent avoir les connaissances nécessaires en matière de sécurité informatique, selon une étude réalisée par le cabinet indépendant . Néanmoins, ils sont encore nombreux à ouvrir des courriers électroniques suspects, à utiliser leur ordinateur professionnel à des fins personnelles ou à laisser une tierce personne l’utiliser.

La sécurité informatique, c'est aussi éviter que l'on accède à un poste et que l'on consulte les données qu'il contient.
Ce souci est particulier pour les ordinateurs portables qui sont fréquemment volés. Trois principes peuvent être combinés :

• la sauvegarde régulière des contenus (voir ce dossier)
• le contrôle de l'accès à l'ordinateur,
• le chiffrement des fichiers.

La biométrie est la science du calcul des dimensions d'un organe humain. Le dessin des empreintes digitales ou de celui de l'iris de l'oeil sont permanents et uniques chez un individu et permettent donc de l'identifier d'une manière fiable.
Médiatisée et intrigante, la biométrie a désormais sa place parmi les techniques relatives à la sécurité des systèmes d'information.

Avec la transmission sans-fil, le réseau est en quelques sortes ouvert à tous les vents, mais accessible seulement depuis une courte distance.
Comme toujours dans les problèmes de sécurité, il ne faut ni sous-estimer le danger, ni tomber dans la paranoïa.

Plusieurs normes, méthodes et référentiels de bonnes pratiques en matière de sécurité des systèmes d’information sont disponibles. Elles constituent des guides méthodologiques ainsi que le moyen de fournir l'assurance d'une démarche de sécurité cohérente.
L’ISO a entrepris un vaste effort de rationalisation des travaux existants donnant naissance à la série des ISO 27000. Certaines sont obligatoires pour obtenir une certification (27001 et 27006), les autres ne sont que des guides :

• l'ISO 17799 sera renommé en 27002, le 1er avril 2007.
• l'ISO 27006 est en cours de fabrication -sortie prévue fin novembre.
• l'ISO 27004 et l'ISO 27005 sont à l'état de drafts avancés.

Les Critères Communs (CC) font la synthèse des critères à respecter en matière de sécurité pour les systèmes informatiques suivant les prescriptions européennes, américaines et canadiennes.
Ils concernent principalement les systèmes directement impliqués dans la sécurité comme les firewalls, les VPN, les switchs....
Sous ce nom pas très marketing se cache une certification complexe, mais prépondérante, acceptée par l'ISO sous la référence ISO 15408.

EAI, SOA, EDI, Web services..., ces nouvelles architectures communicantes dialoguent désormais en échangeant des fichiers XML en dehors des instances transactionnelles traditionnelles.
Mais ces flux de données qui traversent les réseaux IP peuvent également transporter la menace jusqu'au coeur du système. Les protections classiques ne sont pas toujours les mieux adaptées.
Le pare-feu XML répond aux besoins de sécurité et de performance de transmission.

La signature électronique permet, à l’aide d’un procédé cryptographique, de garantir l’intégrité du document signé et l’identité du signataire. (DCSSI).
En d'autres termes, elle permet de garantir qu'un document électronique est, comme pour un original papier, le document authentique considéré.

Pour éviter qu'un message ne soit lu par un tiers lorsqu'il transite sur le réseau ou sur le Web, il faut le coder (chiffrer) au moyen d'une clé de chiffrement. Le correspondant devra le décoder pour le rendre compréhensible.

La signature électronique utilise plusieurs notions techniques :

• l'empreinte, qui permet de vérifier qu'un document n'a pas été altéré,
• le certificat, qui authentifie l'auteur,
• la PKI qui permet la gestion des clés

Le certificat est la pièce qui associe à une entité (client ou serveur), sa clé publique. La certification est un élément fondamental du système à clé publique.

Pour assurer la logistique d'attribution, de publication des clés publiques et leur gestion, une organisation baptisée PKI est mise en place.
Elle comprend :

• une autorité de certification (AC, en anglais CA),
• une autorité d'enregistrement, (AE)
• un opérateur de certification (OC),
• un annuaire de publication des certificats,
• un service de validation.

Proposé par Netscape et des organismes financiers, SSL est destiné à sécuriser les communications, conformément à la norme X509, à travers les réseaux TCP/IP. Il gère HTTP, mais aussi FTP et Telnet. Il ne demande pas d'adaptation particulière des éléments du réseau, contrairement à IPSec.

Protocole HTTP utilisant SSL et proposé par Netscape. Ce standard est libre d'usage.
Sous HTTPS sont chiffrables de manière transparente :

• les login et password,
• les pages Web envoyées au client,
• les cookies,
• les données de réponse du client saisies dans un formulaire.

Protocole de transfert sécurisé sous Internet, développé par Enterprise Integration Technologies (Veriphone), fortement lié au protocole HTTP et différent de HTTPS.

C'est le protocole de messagerie sécurisée conforme à la norme X509. S/MIME v2 fait l'objet de brevets de la société RSA. S/MIME v3 est a été définie par l'IETF.

PGP (sacrée bonne sécurité, en français) est un programme de cryptographie puissant et simple, surtout destiné à être intégré dans les messageries.

IPSec est une suite de protocoles qui permet des communications sécurisées et cryptées entre deux ordinateurs sur un réseau non sécurisé. Le cryptage, appliqué au niveau de la couche réseau IP, est transparent pour la plupart des applications qui utilisent des protocoles spécifiques pour les communications réseau. Il offre une sécurité de bout en bout, les paquets IP étant cryptés par l’ordinateur émetteur, et n'étant pas lisibles sur le trajet. Ils ne peuvent être décryptés que par l’ordinateur destinataire.

Microsoft utilise les protocoles suivants :

• Kerberos comme protocole d'authentification,
• SSL et TLS pour l'authentification par clés publiques,
• SPNEGO (Simple Protected Negotiation) pour les mécanismes de sécurité,
• IPsec pour la sécurité de couche réseau utilisant soit l'authentification par clés partagées, soit l'authentification par clés publiques.

Sur un même système, un utilisateur possède généralement un mot de passe par application (parfois plusieurs). Cet état de fait est lourd à gérer, pour l'utilisateur, comme pour celui qui doit accorder les autorisations.