La sécurité inf

risques et enj
Dans l’ère du “tout informatique”
dans laquelle nous vivons, rares
sont les sociétés qui n’ont pas
accès à Internet ou qui n’utilisent
pas l’outil informatique pour
gérer comptes, fichiers clients…
Cette dépendance représente
des risques potentiels que les
entreprises se doivent d’identifier
et de prévenir pour éviter pertes
et vols de leurs données.
’informatique est partout. D’abord

L adoptée par les grands comptes, elle

s’est généralisée aux PME et TPE qui
se sont vite rendues compte des opportunités
commerciales que l’outil informatique repré-
sentait. L’évolution, l’optimisation et la bana-
lisation de l’informatique ont rendu les entre-
prises dépendantes des technologies de
l’information et de la communication.
Cette dépendance constitue des risques
dans la mesure où aujourd’hui la stratégie
des entreprises repose sur leurs systèmes
informatiques. Une enquête menée par le
CLUSIF, Club de la sécurité de l’information
français auprès de 400 entreprises de plus de
200 salariés, a montré que pour les 3/4
d’entre elles, une indisponibilité de moins de
vingt-quatre heures de leur système d’infor-
mation a de graves conséquences sur leur L’informatique est omniprésente quels que soient les secteurs d’activité. Cette dépendance constitue
activité. Ratio qui ne cesse de croître puis-
qu’il s’élevait à 55 % il y a seulement trois geants…) Un chef d’entreprise, doit au sein des eaux, tant sur le plan architectural que de
ans. Ces chiffres sont parlants et pourtant de ses locaux protéger ses systèmes d’infor- l’aménagement. Les fluides et équipements
tous les experts le confirment “les entre- mation tant physiquement que virtuellement. électriques (électricité, eau, onduleurs, cli-
prises affichent encore une grande naïveté à Panne, incendie, catastrophe naturelle... matisation) doivent, eux, garantir le bon
propos de la sécurité de leurs systèmes d’in- La survie de l’entreprise se joue bien avant fonctionnement et la pérennité des installa-
formations”. “La France a 10 ans de retard le sinistre. Les informations doivent en effet tions. La sécurité physique passe également
en terme de protection de l’information par être préservées de tout risque naturel ou par des accès très limités et sélectifs.
rapport à ses proches voisins européens, et accidentel physique. Il faut savoir que 85 % Serge Cousin, PDG d’une entreprise experte
notamment la Belgique”, reconnaît le lieute- des entreprises ayant connu un sinistre infor- en sécurité informatique préconise la sécuri-
nant colonel Régis Fohrer, chargé de mission matique dû à un incendie ou inondation sation totale de la salle serveur, et l’acquisi-
à l’intelligence économique. Les chefs d’en- déposent le bilan dans les deux ans. tion de coffres à la fois ignifuges et réfrac-
treprise commencent à y être davantage sen- taires pour optimiser la protection des
sibles, ce qui se justifie en partie par leur res- données.
28 ponsabilité civile et parfois pénale face à la La sécurité en entreprise Frédéric Laroche, associé-gérant d’une
loi en cas de déficit de sécurité. Les chefs société de maintenance informatique régio-
d’entreprise doivent assurer la sécurité de Pour contourner ces risques, il faut veiller à nale met en valeur dans la revue Vigilances
leurs systèmes d’information au sein et en ce que les infrastructures détenant les sys- la culpabilité de l’entreprise en cas de non
dehors de l’entreprise lors des déplacements tèmes d’information ne présentent aucun sécurisation de ses données : “En juillet
de leur personnel mobile (commerciaux, diri- risque d’incendie, de pollution, ou de dégâts 2005, suite à un dégât des eaux au sein

FACE - NOVEMBRE 2006 - N° 186

 Sécurité

ormatique :
formatique
eux
en place, il divise le serveur en plusieurs
domaines protégés par des droits d’accès.
Ainsi, les salariés ont grâce à des mots de
passe accès uniquement aux domaines les
concernant selon leur fonction dans la struc-
ture. “Ce système, bien que simple à instal-
ler, est rarement mis en place par les PME”,
déclare Serge Cousin.
Les dangers encourus par les systèmes d’in-
formation dans l’entreprise peuvent aussi
venir de l’extérieur. Il s’agit des intrusions
virtuelles. Serge Cousin, fait remarquer l’in-
conscience des professionnels à l’égard de
l’insécurité virtuelle. “Les entreprises se
sentent protégées dès lors qu’elles ont fait
l’acquisition de pare feu, anti-virus… Elles
ne se rendent pas compte que pour être réel-
lement efficaces, les logiciels doivent être mis
à jour au moins une fois par jour”. D’autant
plus que de nouveaux procédés d’intrusion
naissent très régulièrement. (cf. encadré).
La plupart de ces solutions physiques et vir-
tuelles, demandent des locaux et des compé-
tences internes que toutes les entreprises
n’ont pas. Celles-ci peuvent alors recourir à
l’hébergement extérieur de leur système

M
Suite page 31

Les espions virtuels

des risques dans la mesure ou la stratégie des entreprises repose sur leurs systèmes informatiques.
d’une entreprise, le matériel informatique a
été détérioré. Aucune politique de sauvegar-
de n’avait été mise en place, l’assurance
s’est alors retournée contre la société qui a
été contrainte de déposer le bilan”.
Les systèmes d’informations doivent aussi
être “virtuellement protégés” Pare-feu,
cryptage, mot de passe, autant de mesures
qui peuvent être mises en place par les
entreprises pour préserver leurs systèmes
d’informations des malveillances ou impru-
dences de leur propre personnel et pour lut-
ter contre les tentatives d’intrusions vir-
tuelles quotidiennes.
Bien que la méfiance envers le personnel
puisse être mal vécue, voir contre producti-
ve, une certaine prudence s’impose quand
on sait que 70 % des fraudes informatiques
sont d’origine interne. C’est pourquoi une
politique de sécurité interne doit être établie
pour protéger salariés et employeurs de tout
vol ou utilisation frauduleuse de données.
Pour cela, plusieurs solutions existent et
peuvent être cumulées pour une plus grande
efficacité. Serge Cousin, tout comme le lieu-
tenant colonel Fohrer, recommandent la
signature d’une charte de confidentialité de
la part des salariés de l’entreprise.
Cette charte permet à l’entreprise d’avoir la
garantie que ses employés n’utiliseront pas
leurs données à mauvais escient chez un
concurrent.
Elle ne doit pas avoir de limite temporelle et
engage personnellement le salarié qui
encourt de lourdes sanctions en cas de mal-
veillance, ou de manquement aux obliga-
tions citées. Le partage des ressources peut
être une solution complémentaire à mettre
En 1997, une société spécialisée en sécuri-
té informatique avait recensé 200 spyware,
en 2005 la liste était portée à 30000, avec
près de 400 nouveaux venus par semaine.
Adware et spyware sont des programmes
indésirables qui analysent les habitudes de
navigation des internautes et collectent
leurs informations personnelles. Ces logi-
ciels sont souvent le point de départ d’acti-
vités commerciales ou d’escroqueries,
revente de fichiers clients potentiels, inter-
ception de codes confidentiels sur sites
bancaires… Les spyware sont de plus en
plus associés au phishing et leurs consé-
quences peuvent être dramatiques.
On dénombre à 1,5 milliard le nombre de
crash de Windows XP liés aux logiciels non
désirables.
Comment se prémunir contre les spyware ?
- Utiliser un proxy HTTP
- Adopter un IPS
(Intrusion Prevention System)
29
- Installer un logiciel antispyware
- Former les utilisateurs
- Respecter les mises à jour
La combinaison de ces différentes méthodes
limite les risques de contamination. I

FACE - NOVEMBRE 2006 - N° 186


M Suite de la page 29
La plupart des solutions physiques et virtuelles concernant l’informatique demandent des locaux
et des compétences spécifiques.
d’information. Selon Olivier Le Guillou,
chargé de marketing pour une agence régio-
nale de services managés de sécurité : “Il est
plus performant et moins cher pour une TPE
d’externaliser ce service”. L’externalisation
permet de gérer la complexité de la sécurité
IT et la gestion des nouveaux risques, elle
assure également à l’entreprise le respect
des obligations réglementaires. La valeur
ajoutée d’une politique de sécurité informa-
tique externalisée repose sur la complémen-
tarité du service avec les compétences
internes de l’entreprise en matière de sécuri-
té IT. Par ailleurs, l’externalisation permet la
continuité d’activité 24h/24 et 7jours/7.
Mais cette solution demande de dépasser la
culture latine propre aux Français, et dans
laquelle la notion de propriété est très forte.
La globalisation de l’économie a obligé les
Les acteurs conseils
Fonction publique territoriale (Conseils
généraux, régionaux, communautés d’ag-
glomération…)
§ La DGCCRF, direction régionale de la
consommation, de la concurrence et de la
répression des fraudes
§ La DGDDI, direction générale des
douanes et droits indirects
§ La DST, direction de la surveillance du
territoire
§ La DPSD, direction de la protection et de
la sécurité de la défense
§ La DRIRE, direction régionale de l’indus-
trie, de la recherche et de l’environnement
§ Vigilances, association d’aide aux entre-
prises pour la protection de l’information
§ L’INPI, institut national de la propriété
industrielle
§ L’ANVAR, agence nationale de valorisa-
tion de la recherche
§ CCI et CRCI I nelles, celles de l’entreprise et enfin celles
33% des usagers n’utilisent pas de mot de
passe pour l’accès à leur PDA, 33% des
usagers stockent leurs mots de passe et
codes PIN sur leur PDA. Ces chiffres mon-
trent ces données peuvent facilement deve-
entreprises à travailler ensemble, les parte-
nariats augmentent, les entreprises ne tra-
vaillent plus chacune “dans leur coin”. Les
voyages, déplacements se font de plus en
plus fréquents et font même partie du quoti-
dien des commerciaux, des dirigeants...
La protection
de l’information hors
de l’entreprise
Aujourd’hui, les moyens de communication
mobiles permettent aux entreprises d’aug-
menter leur productivité et d’optimiser leurs
performances. Les réseaux sans fil accom-
pagnant ces solutions mobiles ont rapide-
ment suscité la convoitise des pirates infor-
matiques. Aujourd’hui, la sécurisation de
ces terminaux mobiles n’est pas encore opti-
male, leur intégration au système d’informa-
tion de l’entreprise n’est donc pas sans
risque, que ce soit pour les ressources de
l’entreprise ou pour les données qui y sont
stockées. Hors de l’entreprise, l’insécurité
est totale pour les informations. Aussi il
convient de faire le point sur les probléma-
tiques liées aux utilisateurs de ces terminaux
mobiles mais aussi aux risques liés à leur
connectivité.
L’entrée dans l’ère numérique a permis de
se doter d’un outil de travail pratique : le
PDA (Personal Digital Assistant ou assistant
numérique personnel). Ces terminaux
mobiles de poche, ont des fonctionnalités de
plus en plus nombreuses et permettent
notamment l’échange de données et les
communications vocales, en alliant les
fonctionnalités des ordinateurs à celles du
téléphone.
Ces PDA représentent pourtant plusieurs
risques. Tout d’abord un risque lié à l’utili-
sateur. Parmi les utilisations courantes des
PDA figure le stockage des données.
L’utilisateur stocke des données person-
des clients de l’entreprise. Il faut savoir que,
Sécurité
M
Suite page 33
La menace de poche
Depuis quelques années, une nouvelle
génération de périphériques de stockage
externes menace la sécurité informatique
des entreprises. Clés USB, MP3, I Pod…
se prolifèrent et représentent deux risques
majeurs pour les professionnels. D’une
part, la possibilité pour quiconque, person-
nel ou visiteur de voler des données au
sein de l’entreprise. Abe Usher, un consul-
tant américain, a démontré qu’un visiteur,
profitant de l’heure du repas, peut en
quelques secondes disposer de tous les
documents stockés sur un disque dur par
le seul branchement de son I Pod sur un
por t USB. Avec une heure entière, il peut
facilement s’approprier 20000 fichiers sur
une douzaine d’ordinateurs.
Le deuxième risque couru par l’utilisation
de périphériques de poche est la “contami-
nation”, volontaire ou pas. En effet, elle
peut être le fait d’un visiteur malveillant,
d’un faux collaborateur… mais aussi celui
d’un employé. Il suffit pour cela que le sala-
rié utilise ses périphériques au bureau, et à
son domicile sur un ordinateur moins sécu-
risé, laissant passer les virus, chevaux de
Troie, logiciels espions… pour que ceux-ci
soient ensuite introduits sur le réseau de
l’entreprise.
Bloquer les fonctions Plug&Play des sys-
tèmes d’exploitation revient à rendre
impossible l’utilisation de périphériques
amovibles ce qui n’est pas une solution
réaliste, puisque ces périphériques de stoc-
kage sont devenus des outils de travail
quotidien.
Alors comment faire face aux risques ?
Mettre en place un code de conduite,
comme il existe pour l’accès à Internet,
spécifiant quels périphériques peuvent être
utilisés et dans quelles mesures.
Adopter un logiciel permettant de contrôler
l’accès aux unités de disque, aux ports de
communication et modems pour empêcher
les pertes et vols de données
Activation des ports USB par mot de passe
Cr yptage des données sensibles sur les
ordinateurs
Verrouillage des données sur les périphé-
riques de stockage
Archivage des données sur des réseaux
protégés par des applications extérieures 31
Les sociétés expertes en sécurité informa-
tique peuvent proposer des solutions adap-
tées à chaque type d’entreprise et à son
mode de fonctionnement. I
FACE - NOVEMBRE 2006 - N° 186

M Suite de la page 31
nir accessibles à une tierce personne, que ce
soit par connexion illégitime, perte ou vol
du PDA. Les conséquences de ces impru-
dences peuvent être catastrophiques, à
savoir, un risque d’usurpation d’identité
et/ou la perte de confidentialité des données
personnelles, professionnelles et clientes.
La synchronisation du PDA avec les PC de
bureau relié au système d’information de
l’entreprise est un risque supplémentaire.
En effet, il n’y a pas de contrôle des types de
données que l’utilisateur a le droit de télé-
charger du système d’information vers le
PDA. Des données conf identielles - ne
devant être présentes que sur le système
d’information - peuvent se retrouver sur le
PDA de l’utilisateur, et par conséquent en
dehors du périmètre physique de l’entrepri-
se. Dans ce cas, l’utilisation des PDA peut
aller à l’encontre de la politique de sécurité
de l’entreprise, menaçant de ce fait la confi-
dentialité de l’information.
Si le PDA est compromis par un virus, le
système d’information peut lui aussi être
menacé. Les risques sont également liés à la
connectivité des PDA et plus particulière-
ment, au niveau des réseaux sans-f il de
type : Wifi, Bluetooth, GPRS. En effet, l’uti-
lisation de ces réseaux à grande échelle est
récente et engendre de nouvelles probléma-
tiques de sécurité.
Concernant le réseau wifi, des précautions
sont notamment à prendre dans les hotspots,
ces espaces publics offrant une connectivité
à Internet par le biais d’un point d’accès
Wifi. Les endroits les plus typiques pour les
hotspots sont des lieux de passage comme
les cafés, les salles d’attente des gares et
aéroports ou encore les hôtels.
Les hotspots ne garantissent pas toujours la
confidentialité des échanges des utilisateurs
vis-à-vis des autres utilisateurs. Ainsi, un
pirate peut se connecter via le point d’accès
à une machine victime et récupérer des don-
nées conf identielles ou rebondir sur le
réseau de l’entreprise.
Pour le bluetooth, bien que des fonctionnali-
tés de sécurité aient été définies, celles-ci ne
sont pas activées par défaut sur les termi-
naux équipés de ce réseau. Parfois, des
Sécurité
options activées par défaut peuvent même
autoriser d’autres utilisateurs Bluetooth à
proximité à se connecter au PDA, partager
les f ichiers et ainsi récupérer toutes les
informations stockées sur le PDA.
Dans ce cas, la confidentialité des données
peut être menacée. Depuis peu se développe
une pratique voisine à celle du “War Dri-
ving”, le “War nibbling”, ou “War walking”,
qui consiste à tenter de se connecter aux ter-
minaux dotés de modules Bluetooth, dans le
but d’envoyer un message (attaque de “Blue-
jacking”) ou de récupérer des fichiers de la
victime (attaque de “Snarfing”).
Les outils “Redfang” et “BTscanner”, dispo-
nibles sur Internet, permettent de se connec-
ter aux équipements Bluetooth qu’ils soient
en mode découverte ou non.
Le réseau GPRS permet au terminal mobile
une connexion permanente à Internet. Les
problématiques de sécurité du GPRS se rap-
prochent de ce fait de celles de la sécurité
Internet.
Safia LAOUAIL

La gestion de l’information stratégique, la clé de la compétitivité

A l’heure de la globalisation, la matière première et les capitaux ne
sont plus les armes stratégiques des entreprises et des Etats, aujour-
d’hui c’est l’information qui a pris le dessus. Dès lors, la maîtrise de
l’information devient un enjeu vital pour la compétitivité des entre-
prises. “On peut être l’entreprise la plus puissante, si on ne protège
pas son économie on peut tout perdre, la fuite d’information est très
fréquente et les entreprises n’ont pas conscience des erreurs qu’elles
commettent au quotidien” affirme le lieutenant colonel Fohrer, chargé
de mission à l’intelligence économique.
“Notre région est une région phare en terme d’intelligence écono-
mique. Le Nord/Pas-de-Calais, se dynamise, innove, se développe,
regroupe ses compétences. Paris, c’est la France, Lille c’est l’Europe.
Le succès attire et pour continuer à se développer les entreprises de la
région doivent se protéger”, ajoute le Lieutenant colonel.
Cette protection passe par des mesures techniques mais aussi
humaines, la plupart des fuites d’information étant dues au comporte-
ment humain. Les précautions à prendre sont souvent affaire de bon
sens. “Nous avons récemment eu le cas d’une entreprise technique-
ment très sécurisée, biométrie…, son erreur aura été de laisser une
fenêtre ouverte par laquelle les malfaiteurs se sont introduits pour
voler les ordinateurs. Une autre entreprise, dont les conseils d’admi-
nistration se déroulaient dans des salles très lumineuses grâce aux
grandes fenêtres, n’avait pas imaginé qu’une personne à quelques
mètres du bâtiment pouvait lire ce qui était écrit sur les grands écrans
ou elle diffusait ses diaporamas” illustre Régis Fohrer. Ces impru-
dences peuvent être catastrophiques.
Pour éviter le pire, les conseils à prodiguer sont nombreux, voici
quelques exemples à appliquer :
Dans l’entreprise :
§ Imposez des codes d’accès personnalisés sur les ordinateurs et
des fréquences de renouvellement
§ Faites faire le nettoyage en présence de vos salariés pour éviter vols
et indiscrétions.
§ Centralisez les documents confidentiels dans un lieu gardé
§ Allez chercher votre client à l’accueil et raccompagnez le lors de son
départ
§ Ne laissez pas un sous traitant emporter du matériel défectueux
contenant des informations sur l’entreprise et ne jetez pas des
disques durs sans supprimer la totalité des informations qu’ils
contiennent au préalable
§ Contrôlez les informations qui sont adressées aux partenaires éco-
nomiques de l’entreprise.

Hors de l’entreprise :
§ Evitez de lire ou de rédiger des documents importants dans les lieux
publics
§ De parler fort à table, de nommer vos clients, d’évoquer vos chiffres
d’affaires, marges…
§ Evitez d’envoyer de jeunes employés ou stagiaires sur des salons 33
§ Evitez de descendre toujours dans les mêmes hôtels à l’étranger et
d’avoir recours aux services fax et photocopies de ces hôtels.
§ Evitez d’envoyer des informations confidentielles par message élec-
tronique. I

FACE - NOVEMBRE 2006 - N° 186