Accueil » La rédac' en parle » La sécurité du système d’information, paranoïa ou réel danger, Qu’en pensez vous?

La sécurité du système d’information, paranoïa ou réel danger, Qu’en pensez vous?

hacker3

Post Tags

A LIRE AUSSI

  • Le PlayStation Now se dévoile en vidéo !
  • Génération CDI # Génération entrepreneur
  • Blackberry le retour | RIM contre attaque
  • Station de rechargement pour portables
  • Bye Bye Youtube
Par -
Mesdames, mesdemoiselles et messieurs je reviens aujourd’hui plume à la main pour instaurer le débat sur la sécurité des systèmes d’information. Je parle de débat mais restez zen car je ne vous laisserai pas placer une lettre!!! c’est moi qui fais la loi.

Petite anecdote avant de passer aux choses serieuses : j’étais récemment au sénégal pour ma recherche d’emploi et j’ai vu une annonce sur le site “Pages jaunes du Sénégal” qui avait comme accroche “sécurité” et parano comme je suis je postule à l’offre pour me rendre compte après que ça venait de la Sagam. ( ça va suis pas bête suis juste prudente ou parano!!).


Let’s be back to our sheep! ( revenons a nos moutons pour ceux qui sont pas anglophones :-) ).L’objectif principal de cet article c’est de vous sensibiliser; vous en tant que développeur, ou administrateur réseau, ou encore vous entrepreneur, et surtout vous simple utilisateur du système d’information et de communication.

Nous sensibiliser à quoi justement?

Tout simplement à prendre en compte et intégrer  dans vos têtes et vos projets ce danger qui existe et qui est réellement dangereusement dangereux ( j’espère que vous sentez le danger arriver sinon lisez encore et encore…..)

La sécurité a visé historiquement trois objectifs principaux que sont : la disponibilité, la confidentialité et l’intégrité. Une autre propriété ayant une connotation plus juridique a rejoint la troupe ( j’étais serieuse quand je parlais de danger car y’a risque d’emprisonnement ferme!); c’est l’auditabilité.

Disponibilité :  qui signifie que l’information ou le service doit être disponible en cas de besoin,

Confidentialité : la propriété qui garantit qu’une personne non abilitée  à connaître une information ne doit en aucun cas y accéder ( pour les têtus je précise par aucun moyen!),

Intégrité : propriété qui permet de garantir la conformité des données,

Auditabilité : propriété qui permet de mesurer et de qualifier les dispositifs de securité mis en place.

“D’accord pour tout ce blabla mais moi je connais un moyen efficace de sécuriser un systeme d’information”. ( dit l’éleve qui croit avoir compris la leçon du jour).

Et moi très bon instructeur que je suis je lui pose la question : “Quoi donc???”

Il me repondit :  “un firewall suffirait pour gérer  tout  !” ( dit il avec conviction)

Je lui réponds : Voici un terme très interessant mais je propose qu’on ne mette pas la charrue avant les boeufs.

Savez-vous ce qu’est un firewall?
                                             

Un firewall encore nommé pare-feu ( par mes amis français) est un équipement qui participe à la sécurisation du système d’information mais hélas, ce n’est pas suffisant. Pour faire simple un firewall peut être assimilé à un bodyguard posté à l’entrée d’une maison. Rien n’entre ni ne sort sans son approbation.

Mais pourquoi ce n’est pas suffisant alors?

Disons que cela n’a aucune utilité de surveiller l’entrée de la maison sachant que les fenêtres sont ouvertes, la salle des coffre-forts n’est pas fermée à clé…

Alors qu’est ce qu’il faudrait réellement pour garantir la sécurité?

Je veux vous faire comprendre que la sécurité doit être abordée dans un contexte qui prend en compte plusieurs composantes que sont :

  • La sécurisation  de l’infrastructure matérielle,
  • La protection des données,
  • la sensibilisation des utilisateurs aux risques et problèmes de sécurité.

La manière de gérer ces composantes est spécifiée dans ce qu’on appelle la politique de sécurité de l’entreprise. C’est un manifeste!

Retenez une chose de cette partie : sécuriser un système d’information ne se fait pas sur un coup de tête mais cela repose sur un modèle qui doit être le fruit d’un travail reflechi avec des méthodes normalisées. D’ailleurs il existe des normes qui ont été publiées à ces fins : l’ISO 27001 qui est une norme certifiante qui permet de définir le SMSI (Système de Management  de la Securité de l’Information), l’ISO 27002 qui regroupe un ensemble de “best practices” pour la mise en place du SMSI ( notez que ce n’est pas une norme certifiante), et l’ISO 27005 pour l’audit de la sécurité du SI. On aura l’occasion d’en parler en détails dans un avenir  proche…
                                                                             

Et où se situent les hackers, les virus et autres dans tout ça? ( Encore un autre éleve qui suit le cours et qui ne dort pas! afin je suppose)

He ben dis donc mes elèves sont impatients! J’allais justement vous en parler. Il ‘ y a toute une terminologie autour de la sécurité. Les termes qui reviennent le plus souvent sont les suivants :

un Hacker ( un terme qui fait peur et pourtant ne devrait pas!) : car dans ce monde de sécurité informatique un hacker est le bonhomme qui est un spécialiste de la sécurité et qui cherche à déceler les failles sécuritaires d’un systéme dans le but de le rendre plus sûr.

les vulnérabilités : sont considérées comme les failles d’un systéme et elles sont la plupart du temps la porte d’entrée des attaquants.

les attaquants : ce sont les méchants de l’histoire car ils exploitent les failles et en fonction de leur motivation (vengeance, vandalisme, jeu…), compromettent la sécurité du systéme d’information.

Exploits( mettez y bien l’accent anglais ) :  est un programme permettant à un individu  ou un logiciel malveillant d’exploiter les failles de securité. ( définition de Wikipedia).


Un vers : appelé worm en anglais, est un parasite qui peut infecter un ordinateur par exemple. C’est un programme autonome qui peut se reproduire dans un reseau sans intervention humaine.


un viruspar analogie à un virus biologique est un élèment exécutable ( portion de code, scripts…) qui peut modifier la structure d’un systéme. Pour s’éxécuter il a besoin d’une intervention humaine. un cheval de troie ( troyan horse en Anglais) est un programme qui caché derriere une application quelconque va permettre d’avoir la main à distance sur un systéme pour faire une action ciblée ( vol de mot de passe, utilisation de la machine en serveurs de données piratées, mise en place de Botnet…)
Tous ces termes que vous avez appris aujourdhui sont à consommer avec modération et de grâce ne les criez pas sous tous les toits ( lol on peut être sur écoute les américains sont trop forts pour ça —> 24h Chrono).

C’est quoi la leçon de cette partie alors?

Je vais vous donner une phrase à retenir et je tiens à ce que vous l’analysiez car elle vous permet de mieux comprendre la terminologie ci-dessus ( afin j’espere !!) :

“L’attaquant cherche la faille d’un système dans le but d’exploiter cette vulnérabilité en utilisant les parasites ( vers, virus, cheval de troie) afin de prendre en main ce système et d’agir en fonction de ses besoins; mais heureusement qu’un hacker a decouvert la faille avant lui et le bug a été corrigé à temps.”

Tout ce que tu nous as dit est utile mais pourquoi sommes nous concernés en tant que développeur, entrepreneur, administrateur réseau, simple utilisateur?
Pour etre honnête j’en ai assez écris pour aujourd’hui. Donc pour avoir quelque chose à dire la prochaine fois, je vais vous donner un petit exercice.
Prenez note :

“Quel rôle pensez-vous ( je parle de chacun de vous!) tenir  dans cet orchestration de la sécurité du systéme d’information?”

Pour vous aider (jokerrrrrr) je vous renvoie aux différentes composantes de la politique  de sécurité du système d’information citées ci-dessus.

Cet exercice sera corrigé la prochaine fois.


Je déclare le débat ouvert et je vous promets que si vous avez apprécié mon article je reviens ( ça c’est sûr!) sinon, je vous laisse deviner les conséquences…


MD pour vous servir!!!


M.D

M.D

Vous connaissez l'histoire du "i" dans mon prénom donc pas la peine d'y revenir je pense. Entre nous disons juste Mareme Diagne, ingénieur en réseaux et télécommunications , spécialisée en sécurité des systèmes d'information. Aidez moi s'il vous plaît, il me faut une armée de Hacker pour que je sois reconnue au Galsen. Vers, virus, cheval de Troie ... Peu importe faut que ça saute!! Merci d'avance

Dans la meme categorie

  • Pingback: La sécurité par les développeurs. « La Rédac' en parle

  • Raymond ALAVO

    Article très intéressant, j’ajouterais juste l’une des attaque la très dangereuse et souvent négligé!! “L’ingénierie Social” visant le maillon faible de la chaîne : l’employé et ayant pour objectif le détournement de ressources!!