dimanche 05 septembre 2010
En partenariat avec le DIXIT

logo

design

Economie
 

Cyber-sécurité: protéger le patrimoine de l’entreprise

Dixit 2008-2009
Cyber criminalité, cyber terrorisme, cyber économie, cyber surveillance, cyber attaque, cyber menace, cyber escroquerie, ces termes s’ils évoquent un monde virtuel, traduisent surtout des menaces concrètes sur nos biens : détournement d’argent via le net, destruction de nos données par des virus, intrusion, surveillance, etc. Si la plupart des grandes entreprises ont pris les devants, les pme tardent à se pencher sur leurs systèmes d'information. Un audit sécurité peut identifier les failles et éviter le vol ou la destruction des données sensibles de l’entreprise.

La sécurité dans une entreprise n’est pas liée exclusivement à la protection de ses biens matériels mais également à celle de ses biens immatériels qui constituent le patrimoine et le savoir-faire de celle-ci. Face à l’évolution et à l’utilisation généralisée des moyens de communication (Internet), à la banalisation de l’informatique et de la bureautique ainsi qu’à l’intervention croissante de prestataires de services (externalisation), les entreprises polynésiennes n’ont peut-être pas toujours pris le temps d’intégrer les moyens de protection et de contrôle de sécurité nécessaires à la protection de leur patrimoine. Que ce soit sur le plan de la production ou sur celui des soutiens logistiques (services administratifs et de gestion du personnel, services comptables et financiers, services liés à la bureautique, service de sécurité, etc.), ce sont les systèmes d’information qui gèrent la vie de celle-ci.
Il est donc indispensable, pour les décideurs polynésiens, que la protection de leur patrimoine et donc de leur outil de travail passe par une prise de conscience de leur vulnérabilité. Quel chef d’entreprise ne souhaite pas protéger ses informations stratégiques, telles que le coeur de son métier, les techniques utilisées ; les produits, les marchés, les marges bénéficiaires, les fichiers clients, les réponses à des appels d’offres, etc ? Qu’on l’appelle Sécurité des Systèmes d’Information, Sécurité de l’Information ou Cyber-Sécurité, la mise en place d’une démarche sécurité représente aujourd’hui un enjeu stratégique pour les États, les entreprises et les salariés citoyens.

Identification des menaces

Les systèmes d’information étant de plus en plus ouverts, leur vulnérabilité aux intrusions et aux agressions est donc plus grande. Ces attaques sur les systèmes, qu’elles soient involontaires, malveillantes ou criminelles, auront des incidences plus ou moins dramatiques. Les différents types de menaces :
La menace ludique consiste pour certains jeunes internautes à attirer l’attention des responsables des sites sur l’absence de protection. Sur internet, c’est une véritable compétition destinée à prouver que l’on est le meilleur dans ce domaine. Certains se sont retrouvés devant la justice car leurs interlocuteurs n’avaient pas apprécié l’intrusion et le maintien dans leur système. D’autres, plus chanceux, ont fait l’objet de propositions d’embauche…
La menace cupide consiste à profiter des failles de sécurité d’un système pour copier certaines informations afin d’essayer d’en tirer un gain financier (banques, assurances, etc.).
La menace terroriste, plus insidieuse, aura pour origine un groupe, voire un État, qui voudrait attirer l’attention par une action médiatique spectaculaire.
La menace stratégique revêt une acuité toute particulière. En effet, une société, via les systèmes d’information, peut utiliser les faiblesses d’un système pour obtenir des informations stratégiques sur une société concurrente (patrimoine, fichiers de la clientèle, marchés en cours, secret de fabrication, etc.).

Pour mémoire, 80 % des dommages au patrimoine informatique ou informationnel de l’entreprise proviennent de malveillances internes, volontaires ou non.

Les risques pour l’entreprise

Tout élément pouvant avoir un impact sur la capacité de l’entreprise à atteindre ses objectifs est considéré comme un risque. Les risques les plus connus sont :
La maladresse peut concerner des utilisateurs, non malveillants, qui vont détruire ou endommager des données auxquelles ils n’ont pas normalement accès. Elle peut se traduire par une remise en cause du système d’information, de sa disponibilité et de l’intégrité des informations contenues sur le système considéré.
La malveillance peut être le fait d’une personne souhaitant exprimer son ressentiment envers l’entreprise. Il peut s’agir d’un employé, d’un prestataire de service, etc. Cette action a pour but de mettre volontairement en péril le bon fonctionnement du système visé et surtout de remettre en cause l’intégrité des informations qu’il contient.
L’espionnage consiste à contourner les mesures de sécurité existantes afin de s’introduire frauduleusement dans un système visé et surtout de remettre en cause l’intégrité des informations qu’il détient.
La perturbation consiste à porter atteinte au système d’information afin de le perturber, voire de le saturer, en provoquant des erreurs.
Le sabotage a pour but de mettre hors service un système d’information ou l’un de ses composants.
La fraude physique consiste à récupérer physiquement des informations mal protégées dans un local ou sur un poste de travail (listings, CD Rom, clé USB, etc.).
L’accès illégitime vise l’accès aux locaux d’une part et aux ressources informatiques d’autre part.
Le vol de données se manifeste non seulement directement sur le poste de travail mais également lors de la transmission de l’information via un réseau. Il met en cause directement les mesures de sécurité et les outils mis en place pour protéger la confidentialité des informations. Il est toujours très difficile à « matérialiser ».
Le vol de ressources se réalise en usurpant l’identité d’un utilisateur afin de subtiliser les ressources de celui-ci. Très insidieux, il est également très difficile à détecter.

Qu’est-ce qu’un système d’information?
Selon la définition du SGDN (Secrétariat Général de la Défense Nationale), un système d’information est « tout moyen dont le fonctionnement fait appel, d’une façon ou d’une autre, à l’électricité et qui est destiné à élaborer, traiter, stocker, acheminer, présenter ou détruire l’information ».


L’audit de sécurité

Face à l’ensemble de ces menaces et des risques encourus par l’entreprise, la première démarche à accomplir consiste à réaliser un audit de sécurité afin de bien identifier les systèmes, les moyens, leur fonctionnement, les informations qu’ilscontiennent et la façon dont ils sont gérés. Cette démarche sécuritaire doit se dérouler selon une méthode bien définie au préalable, en accord avec l’ensemble des responsables de l’entreprise, afin d’être cohérente et de s’intégrer parfaitement dans le fonctionnement de celleci.
Elle doit permettre à la société de continuer à fonctionner normalement sans apporter de dysfonctionnement d’aucune sorte. Sa réussite dépend de la bonne compréhension de la hiérarchie ainsi que des employés.

Les cinq étapes de l’audit :
1 - La sécurité physique de l’entreprise
2 - La sécurité physique et logique par système d’information
Les systèmes d’information doivent être divisés en plusieurs catégories totalement distinctes, selon leur activité :
• les systèmes opérationnels contribuant à la production,
• les systèmes de soutien stratégique (comptable, financier, bureautique, etc.),
• les systèmes de soutien logistique (administratifs et de gestion du personnel, l’autocommutateur téléphonique, les systèmes de sécurité, etc.).
3 - Les dispositions générales concernant l’ensemble des systèmes d’information La connaissance acquise au cours des deux premières étapes doit permettre, d’une part, la réalisation d’un véritable « état des lieux » des systèmes et, d’autre part, de mieux identifier les failles existantes. Elle fera apparaître un certain nombre de vulnérabilités et de dysfonctionnements techniques et humains.
Ces dysfonctionnements techniques devront être corrigés en mettant en place des dispositifs de protection que nous appellerons des parades. Celles-ci devront sécuriser tant techniquement que logiquement les systèmes d’information concernés.
4 - Les sociétés prestataires de service et les populations nomades
Les prestataires de service doivent être bien identifiés en fonction de leur type d’intervention et la liste exhaustive doit être détenue par un responsable (sécurité, DRH, autres…). Les populations nomades (intérimaires, stagiaires, contrats à durée déterminée, contrats en alternance…) doivent être soumis à une procédure particulière compte tenu de leur statut limité dans le temps.
5 - Les aspects juridiques de la sécurité Tout chef d’entreprise se doit de connaître ses propres responsabilités tant sur le plan pénal que civil* :
• La responsabilité civile de l’entreprise (art 1384 alinéa 5 du code civil) stipule que « l’employeur est civilement responsable du fait de l’activité de ses préposés, notamment en cas d’utilisation malveillante des moyens informatiques et de communication électronique (exemple : le courrier électronique) ».
• La responsabilité pénale de l’entreprise (art 121-2 du code pénal) énonce que « l’employeur peut être pénalement responsable du fait de ses préposés dès lors qu’ils commettent des infractions susceptibles d’engager la responsabilité pénale des personnes morales (par exemple l’atteinte aux systèmes de traitement automatisé de données, contrefaçon, etc.) et qu’elles ont été commises pour le compte de l’entreprise par ses « organes ou représentants ».
Nota : la mise en oeuvre de la responsabilité pénale d’une personne morale n’exclut d’ailleurs pas celle, cumulative, des dirigeants en tant que personnes physiques.

* Ces lois sont applicables en Polynésie française

Les lois et le règlement intérieur de l’entreprise

L’audit portera également sur la vérification des moyens mis en place dans le cadre du respect de la loi, de la jurisprudence et du règlement intérieur :
• informatique et liberté,
• protection des logiciels,
• atteinte aux systèmes de transmission automatique de données,
• le secret des correspondances privées et notamment la Cyber-Surveillance sur le lieu de travail,
• le respect du droit de copie,
• la vidéosurveillance,
• le chiffrement, l l’archivage électronique, etc.
Les clauses mises dans le règlement intérieur :
• clause de confidentialité et de discrétion,
• sanction en cas de manquement.

L’affaire Kerviel, ou la défaillance d’un contrôle interne

Le lundi 28 janvier 2008, Jérôme Kerviel a été mis en examen après la révélation d’une « fraude interne » au sein de la Société Générale. Il aurait profité des défaillances de la politique de sécurité informatique de la banque.
Le trader indélicat aurait réussi à détourner le fonctionnement d’Eliot, nom du système d’information de la salle de marché, pour procéder à des falsifications qui ont coûté 4,6 milliards d’euros à la banque.
En juillet 2008, selon le rapport de la brigade financière de Paris, il est notamment relevé que « au regard de l’ensemble des éléments recueillis, on peut légitimement penser que l’ampleur du préjudice financier de la banque s’explique par les manoeuvres frauduleuses d’un trader qui (…) a abusé de la confiance de sa hiérarchie en profitant des manquements de celle-ci et de la défaillance des services de contrôle interne ». L’audit de sécurité, dans sa finalité, permet de bien identifier les fragilités sécuritaires de l’entreprise, tant sur le plan de l’organisation technique, que sur la protection des biens et des informations à protéger.

La politique de sécurité : rédaction d’une charte

La nécessité de mettre en place une politique de sécurité des systèmes d’information étant donc établie, cet « état des lieux » doit permettre de rédiger un document (charte) adapté aux besoins et aux usages de l’entreprise. Pour être applicable, ce document devra impérativement impliquer tous les collaborateurs qu’il faudra former à sa mise en oeuvre, en partant du principe que les plus grandes menaces pour la sécurité des systèmes d’information viennent des utilisateurs eux-mêmes. Dans son objet, cette charte devra rappeler que la pérennité de l’entreprise, sa qualité de fonctionnement, l’intégrité de ses systèmes d’information et son savoir-faire dépendent de la volonté de chacun de respecter et d’appliquer les règles de sécurité.

Quelques grands principes de base qui devront figurer dans cette charte
• Les objectifs liés à la sécurité physique : accès à l’entreprise, au sein de l’entreprise, sur les sites sensibles, l’organisation interne complète relative à la délivrance et au retrait de badge (personnel, stagiaires, intérimaires, visiteurs…).
• Les objectifs liés à la sécurité logique selon quatre types de critères de protection de l’information : la confidentialité, la disponibilité, l’intégrité, l’auditabilité (traçabilité, imputabilité, non-répudiation).
• La classification des informations (non sensibles, sensibles, critiques) et la gestion des niveaux d’accès en fonction de la sensibilité des informations et des systèmes.
• La procédure de changement régulier de code d’accès (embauche, départ, changement de responsabilité, personnels temporaires, évolutions des applications…).
• Le plan de sauvegarde (gestion des procédures, tests, vérifications et mise en oeuvre…).
• La lutte anti-virus.
• L’infogérance (maintenance et gestion par une société extérieure et rédaction de prescriptions de Sécurité des Systèmes d’Information dans les contrats).
• La maintenance des matériels hors des locaux de l’entreprise.
• La politique concernant la bureautique et les accès à Internet.
• La politique concernant les PC portables (utilisation au sein et hors de l’entreprise).
• La rédaction d’un chapitre lié au cadre juridique et réglementaire.
• La délégation de pouvoir ou de responsabilité.

Les plus grandes menaces pour la sécurité des systèmes d’information viennent des utilisateurs eux-mêmes

• La sensibilisation des personnels sur la politique mise en oeuvre.
• La formation des personnels sur les aspects législatifs et réglementaire, l’identification et la protection du patrimoine, la protection en matière de bureautique, la constitution d’un code secret.
La rédaction de ce document de référence doit intégrer tant la sécurité physique que la sécurité logique de l’ensemble des systèmes d’information. Il doit prendre en compte toutes les mesures de sécurité qui ont été mises en place suite à l’audit. Rédigé et validé pour application, il devra s’adapter à la taille de celle-ci ainsi qu’à ses objectifs, et être déployé et appliqué au sein de l’entreprise.

Les entreprises en Polynésie sont-elles concernées et vulnérables ?

Mémento pratique

Un guide mémento, rappelant les consignes générales, peut être rédigé et remis à l’ensemble des membres du personnel. Ce guide doit rappeler les grands principes de « ce qu’il faut faire ou ne pas faire » dans la gestion d’un ordinateur (fixe ou portable) et de certains périphériques (clé USB par exemple); mais aussi la gestion des codes d’accès (mots de passe), la lutte anti-virus et anti-spam, etc.
Il doit énoncer les lois les plus importantes qu’il convient de respecter et les personnes à contacter rapidement en cas d’incident.

L’insularité de Tahiti ne doit pas faire oublier que les menaces, qu’elles soient ludiques, cupides, terroristes ou stratégiques pesant sur les systèmes d’information n’ont pas de frontière. La délinquance informatique, sous toutes ses formes, doit amener les entreprises de Polynésie à adopter une méthodologie destinée à identifier les failles de sécurité (internes et externes) et adopter des contremesures supportables afin de sécuriser au mieux les systèmes et les informations sensibles qu’elles détiennent.

La politique gouvernementale, souhaitant orienter les entreprises polynésiennes vers la recherche de nouveaux marchés en s’ouvrant sur l’extérieur, notamment les États-Unis, nécessite la sensibilisation et la formation des personnels sur les risques liés à une utilisation incontrôlée de tous les moyens de communication existants. Cette sensibilisation ne doit donc plus porter exclusivement sur une utilisation au sein de l’entreprise mais également lors de déplacements à l’étranger.
Les cadres et les commerciaux sont de plus en plus dotés de moyens mobiles de communication dont l’utilisation, non contrôlée, peut mettre en péril les informations sensibles de l’entreprise. Il ne s’agit pas d’entraîner les utilisateurs dans la paranoïa sécuritaire mais de leur faire prendre conscience qu’il convient de trouver un juste milieu entre l’angélisme le plus total et la réalité du contexte géopolitique actuel.
Face à une concurrence internationale de plus en plus agressive, parfois assimilée à une vraie guerre de l’information, c’est le véritable défi à relever par toutes les entreprises, y compris celles de Polynésie.

Patrick LE GUYADER,
Conseil en sécurité
le-guyader.p@mail.pf

<<Pour une énergie plus responsable Retour au menu >>Bio-sécurité : lutte contre les espèces envahissantes