Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. La sécurité informatique dans la petite entreprise
  3. La sécurité dans l’entreprise
Extrait - La sécurité informatique dans la petite entreprise Etat de l'art et bonnes pratiques (4e édition)
Extraits du livre
La sécurité informatique dans la petite entreprise Etat de l'art et bonnes pratiques (4e édition) Revenir à la page d'achat du livre

La sécurité dans l’entreprise - Les systèmes

Objectifs

Dans une entreprise, le plus important en termes de sécurité informatique consiste à protéger le système d’information et de le prémunir des risques potentiels. Cela signifie de mettre en œuvre un processus de gestion de sécurité pour tous les environnements logiciels (systèmes d’exploitation, applications...) et matériels (serveurs, infrastructure réseau...) présents dans l’entreprise et de pouvoir bénéficier des dernières améliorations en matière de sécurité.

La disponibilité des données et des systèmes

1. Concepts et principes

L’un des principes de sécurité qui doit être appliqué comporte la mise en place des environnements techniques et organisationnels de façon à garantir :

  • la disponibilité des données, des applications et des services ;

  • la tolérance aux pannes ;

  • la prévention des incidents graves.

La finalité en relation avec ces bases consiste à définir et à implémenter principalement une protection sur plusieurs niveaux en considérant la disponibilité :

  • des données (SAN, RAID, sauvegarde...) ;

  • des systèmes (clusters, virtualisation...) ;

  • des applications ;

  • de l’infrastructure (énergie électrique, réseaux de communication).

2. La disponibilité des données

Différentes technologies sont utilisées pour assurer que celles-ci sont accessibles de façon permanente et sécurisées pour les applications utilisées par l’entreprise. Les solutions existantes sont présentées ci-dessous.

a. La technologie RAID (Redundant Array of Inexpensive Disks)

Elle est constituée d’un ensemble de disques durs indépendants qui permet de réaliser une unité de stockage. Selon le type de technique (à partir de RAID-1), l’unité ainsi créée possède une grande tolérance de panne avec un risque minimal de perte de données. La répartition des informations sur plusieurs unités permet donc d’augmenter la tolérance aux pannes, la sécurité et leur disponibilité.

Les disques assemblés en unité de stockage peuvent être utilisés de différentes façons, appelées niveaux RAID. Les formes les plus courantes sont listées ci-dessous :

  • Niveau 0 ou striping ou agrégat de bandes.

  • Niveau 1ou mirroring (disques disposés en miroir), shadowing.

  • Niveau 3 ou grappes de disques identiques, une unité de stockage est réservée à la gestion de la parité.

  • Niveau 4 : type amélioré du niveau 3 avec une gestion synchrone des unités de disques.

  • Niveau 5 : agrégat de bandes avec parité alternée...

La disponibilité de l’infrastructure

1. Énergie électrique

D’autres éléments matériels vont assurer la sécurité de l’alimentation des composants du système d’information. Ils concernent le réseau électrique, soit de l’ensemble de l’installation, soit de chaque composant de l’infrastructure. Ils se composent de matériels de type :

  • onduleurs pour serveur indépendant pour un environnement informatique (Data Center) ;

  • alimentation redondée pour baies de serveurs ou unités de stockage.

2. Réseau de communications

Il est préférable de bénéficier de dispositifs de communication redondants sous forme de connexions réseau et des matériels associés. Leur mise en place est principalement requise si le métier de l’entreprise impose des connexions constantes et de bonne qualité aux réseaux internes et externes.

Identification et authentification

1. Définitions

Accès physique

Il s’agit du processus qui permet d’utiliser un système informatique sous la forme d’un accès à un ordinateur via une interface de type clavier ou la possibilité d’entrer dans des environnements ou locaux de l’entreprise qui hébergent des systèmes ou des informations.

Accès logique

Il s’agit du procédé qui permet d’entrer, de modifier, de supprimer, de consulter des données, des enregistrements présents sur un système à l’aide d’une autorisation d’accès.

Identification

C’est le moyen par lequel un utilisateur fournit une identité réclamée par le système.

Authentification

Il s’agit du moyen qui permet d’établir la validité de la requête émise pour accéder à un système. Ce mécanisme est précédé d’une identification permettant de se faire reconnaître par le système. Cela peut être sous la forme d’un mot de passe, une identification PIN (Personal Identification Number), un système de chiffrement.

Ce sont des éléments critiques de la cybersécurité à partir du moment où ils sont considérés comme des briques de base pour la plupart des types de contrôle d’accès.

La méthode la plus commune utilisée sur les systèmes informatiques est un nom d’utilisateur couplé à un mot de passe. Cette façon de procéder, dans un environnement correctement géré, fournit une sécurité efficace. Toutefois, cette méthode est loin d’être idéale. C’est pour cela qu’il est nécessaire d’être vigilant et de se reporter à des bonnes pratiques qui devront s’adapter à l’environnement de l’entreprise.

Mot de passe

Le principe de l’utilisation de mots de passe pour l’authentification doit respecter certaines règles. Celles-ci doivent être connues et appliquées par tous les employés. Malgré sa facilité d’utilisation, le principe de précaution impose d’éviter qu’il soit facilement...

Sécurité physique et environnementale

Les dispositifs de contrôle devront être mis en place pour protéger les locaux hébergeant les ressources système et autres emplacements dédiés.

Par ressources système, il faut comprendre les équipements d’alimentation électrique, matériels (serveurs, périphériques de stockage, dispositifs réseau, modems...), le stockage des supports et média d’installation et de sauvegarde, tous les éléments de l’infrastructure nécessaires à l’exploitation.

L’accès de l’environnement dédié doit être contrôlé constamment, particulièrement pendant les périodes de non-occupation des locaux.

Les protections contre les virus et autres programmes malveillants

1. Les virus

Un virus est un programme qui s’exécute sur un ordinateur et peut se répandre à travers d’autres machines d’un système d’information dans l’objectif de provoquer des perturbations dans les applications informatiques. Il existe plusieurs types de virus qui correspondent à des menaces plus ou moins graves.

La mise en place de la protection

L’objectif principal est de limiter la prolifération virale dans le cas où au moins une machine est infectée.

Deux solutions principales existent :

  • Un logiciel d’antivirus disposé sur la passerelle d’accès à Internet. Cette solution consiste à réaliser un filtrage applicatif sur l’ensemble des flux qui transitent par ce dispositif. Cet outil de protection pourra avoir la capacité d’analyser les flux web (par exemple : service de courrier web), notamment des logiciels malveillants. Elle protège globalement les utilisateurs au niveau du réseau.

  • Un antivirus installé et opérationnel sur tous les postes de travail et tous les serveurs présents dans l’entreprise. Les systèmes multiples qui composent l’environnement peuvent nécessiter des logiciels d’antivirus d’éditeurs différents.

Les outils d’antivirus et leurs propriétés

Leurs rôles consistent à rechercher et à éliminer ces logiciels néfastes. Le principe consiste à détecter la présence d’infections lors de l’analyse complète des fichiers d’un serveur ou d’un poste de travail, puis à les supprimer complètement de la machine sur laquelle ils peuvent résider et être actifs. Chaque logiciel d’antivirus possède ses propres fonctionnalités et sa propre base de données qui doit être mise à jour périodiquement.

La présence d’un logiciel antivirus opérationnel s’impose sur chaque poste de travail de l’entreprise. En effet, les usages personnels des ordinateurs sont incontrôlables (insertion de CD-ROM, de clé USB, de disques externes, utilisation d’une connexion internet...).

Toutefois, le déploiement de logiciels...

Les bonnes pratiques de sécurité

1. Les bonnes techniques générales

La plus importante doit permettre à tout utilisateur ayant des responsabilités d’administration ou non de pouvoir signaler tout évènement, même mineur, impliquant la sécurité du système d’information de l’entreprise.

La procédure définie par les administrateurs doit être simple, facile à mettre en œuvre. Les personnels doivent être formés et y être sensibilisés, être encouragés à remonter toute information pouvant permettre la détection d’un incident plus important.

Les outils automatiques de surveillance implémentés sur les ordinateurs ne peuvent pas forcément détecter tous les défauts, l’implication des personnels est prépondérante.

Plus l’incident sera détecté et maîtrisé rapidement, moins les conséquences seront importantes et graves.

La protection du périmètre

Le principe de sécurisation consiste à mettre en place un périmètre de défense afin de protéger les équipements (physiques et logiques) situés à l’intérieur de l’entreprise.

Gestion centralisée des incidents et communications

La solution la plus adaptée consiste en la mise en place d’une équipe ou d’un service sous forme de plateforme technique dédiée centralisant la gestion de tous les incidents et la prise en compte des défauts pouvant survenir dans ce contexte. Les bonnes pratiques décrites dans ITIL V4 peuvent être utiles pour la mise en place de cette gestion centralisée.

Conseils à destination des administrateurs

Normalement, la création et l’attribution du compte d’accès au système d’information de tout nouvel utilisateur (référence du compte et mot de passe) est effectuée par l’administrateur. Le mot de passe délivré doit être remplacé lors du premier accès au compte.

Par contre, les utilisateurs choisissant leurs propres mots de passe ont tendance à les définir facile à retenir. Cela veut dire qu’ils peuvent être faciles...

Bonnes pratiques d’administration spécifiques à Windows

1. Politique de verrouillage de compte

Il existe un paramètre qui permet d’éviter d’accéder illégalement à un compte d’utilisateur. Il est géré de façon particulière par Windows qui bloque l’accès au compte après un certain nombre de tentatives infructueuses.

Ce paramètre est défini de façon à éviter des attaques par déni de service (DoS : Denial of Service). Celles-ci consistent à tenter de façon répétitive l’accès à un compte.

Cette solution permet d’éviter des appels fréquents au centre de service pour des problèmes de verrouillage de compte par erreur (cas de mots de passe de grande longueur et complexes).

2. La politique de sécurité d’accès aux comptes via Kerberos

Kerberos est utilisé pour la gestion des comptes de domaines Windows. La dernière version du protocole d’authentification fournit le mécanisme par défaut des services d’authentification et les données d’autorisation nécessaires à un utilisateur pour accéder à une ressource et réaliser les tâches nécessaires. La configuration doit être effectuée de façon à assurer...

Bonnes pratiques d’administration spécifiques à Linux

Distributions les plus courantes pour serveurs Linux : Ubuntu Server, Debian, CentOS, RedHat Entreprise Linux, Open SUSE, SUSE Linux Entreprise, Oracle Linux, ClearOS.

1. Bonnes techniques générales

Les principes fondamentaux restent identiques pour les plateformes Windows et Linux (ou Unix).

Toutefois, la documentation concernant Windows est plus prolifique.

Dans ce chapitre, seules les stratégies et informations utiles sont traitées.

Le système d’exploitation Linux permet d’utiliser principalement les lignes de commande à la différence de Windows.

Les instructions d’aide sont disponibles avec la commande « man » (ex : man sudo).

Ces bonnes pratiques de sécurisation du système d’exploitation Linux présentées ci-dessous sont des recommandations de base et s’appliquent quelques soient les distributions.

En ce qui concerne Linux, il est nécessaire :

  • d’être vigilant de façon à être informé des nouvelles vulnérabilités, des problèmes de sécurité découverts et diffusés ;

  • de mettre à jour le système d’exploitation Linux régulièrement avec les nouvelles versions mises à disposition par l’éditeur.

Il peut être utile de s’abonner aux listes de diffusion de l’éditeur et des organismes tel le CERT (Computer Emergency Response Team, CERT-FR en France) et de prendre en compte les mises en gardes diffusées.

Vulnérabilités

Pour un système Linux en particulier, il est important de définir les vulnérabilités.

Elles peuvent provenir de plusieurs causes :

  • Installation du système d’exploitation et des applicatifs avec les paramètres par défaut.

  • Comptes utilisateur sans mot de passe ou avec mots de passe trop faibles.

  • Sauvegardes inexistantes ou incomplètes.

  • Nombre trop élevé de ports ouverts.

  • Journalisation des évènements inexistante ou incomplète.

  • Programmes vulnérables.

Principes généraux pour les serveurs

  • Installation minimale et non par défaut.

  • Limiter les applications installées.

  • Chiffrer les partitions où sont stockées...

Conclusion

Ce chapitre a résumé l’ensemble des bonnes méthodes pour assurer la sécurité du système d’information. Elles impliquent de mettre en œuvre la disponibilité, la confidentialité des accès pour respecter la politique définie dans l’entreprise. 

Naturellement, celles-ci doivent être mises en place en tenant compte de son environnement et de ses évolutions.