Sécurité des systèmes d’information : comprendre et agir pour le bien de votre entreprise ! - Image

Auteur : Tiphaine Ruppert | 24-01-2019 | Tags: securite-des-systemes-dinformation SSI attaques-internet solutions-attaques-internet rgpd( Règlement général sur la protection des données) directivesNISS(network and information system security)

Au bureau, vos codes d’accès sont inscrits sur un papier placé sous votre clavier ou « cachés » dans votre ordinateur dans un document intitulé « mots de passe » ? Avec notre article, vous êtes au bon endroit.

Sécurité des systèmes d’information : comprendre et agir

 

A moins d’être un spécialiste de la discipline, un passionné de nouvelles technologies ou un utilisateur vraiment très consciencieux, la sécurité des systèmes d’information – dont les systèmes informatiques – représente pour nombre d’entre nous une vague notion, lointaine contrée inexplorée de notre « atlas » informatique.

Pourtant, cela n’a rien d’un mythe, nous sommes tous et de plus en plus vulnérables face aux attaques perpétrées dans le cyber-espace.

Dans la « vraie vie », l’idée ne vous viendrait pas de laisser votre porte d’entrée grande ouverte et surmontée d’un Post-it indiquant au voleur l’emplacement de votre « bas de laine » ?

Dans cet espace virtuel et impalpable qu’est le web, c’est pourtant le risque que la plupart d’entre nous prend chaque jour. Les ordinateurs se trouvent, en effet, au cœur de réseaux hyper-connectés, contenant une manne incalculable de données confidentielles… n’attendant que d’être exploitées.

La SSI, quesaco ?

La sécurité des systèmes d’information (SSI) regroupe « les pratiques, processus et outils utilisés pour protéger les informations sensibles d’un système, explique Aissam Outchakoucht, consultant dans le domaine. On la définit aussi souvent par la triade CIA, pour confidentialité, intégrité et disponibilité (ou availibility en anglais). Par le biais de la SSI, on cherche donc principalement à s’assurer que des utilisateurs non-autorisés ne peuvent ni voir, consulter ou altérer les données auxquelles ils ne sont pas sensés avoir accès ».

Au contraire, ces ressources doivent être disponibles pour les utilisateurs légitimes à chaque fois qu’ils en ont besoin.

Menaces plus nombreuses et diversifiées

La SSI doit donc nous permettre de prévenir, ou de contrer, les menaces auxquelles sont exposés nos systèmes. Ce n’est pas une vaine tâche ! Les hackers redoublent d’inventivité en matière d’attaques, virus et autres agents malveillants.

Le rapport 2017 de la société Symantec, poids lourd de la cybersécurité, fait état d’un plus grand nombre d’attaques mais aussi d’un plus grand panel, forçant l’adaptation perpétuelle des lignes de défense des sites web et autres applications mobiles.

Le cas du cryptojacking, c’est-à-dire la création de monnaie virtuelle, à notre insu, lorsque l’on consulte certain site, est édifiant. Le nombre d’attaques de ce type, détectées par Symantec, est passé de 933 en 2015 à 1,242 millions en 2017.

Les méthodes de « rançonnage », ou ransomware, quant à elles, ne peuvent pas vous être inconnues : qui n’a jamais reçu d’e-mail dont l’objectif est de récolter de l’argent frauduleusement ? Peu coûteuses et simples à mettre en œuvre, ces campagnes se sont banalisées et servent aujourd’hui le plus souvent à dissimuler d’autres attaques.

 

En outre, la société Kapersky Lab, autre acteur de la protection des données et des systèmes, estime qu’en 2019, l’internet des objets sera particulièrement ciblé par les attaques.

Ce devrait être également le cas des chaînes d’approvisionnement. Ces ensembles de réseaux, comprenant toutes sortes de flux, de la matière première au produit ou service livrable, sont de plus en plus dépendants d’internet.

Auparavant exposés essentiellement aux menaces physiques (sabotage, vol…), ils doivent aujourd’hui composer avec les attaques cybernetiques. Exemple aux conséquences marquantes : à l’été 2017, le ransomware Petya/Not Petya a touché de nombreuses entreprises européennes et américaines, chiffrant le préjudice, pour certaines d’entre elles, à plusieurs centaines de millions d’euros ou de dollars.

Logiquement, les systèmes mobiles, qui se développent à toute allure, devraient eux aussi se révéler plus vulnérables. En la matière, Symantec dit avoir recensé une augmentation de 54 % des variantes des logiciels malveillants (malwares) sur mobiles et avoir bloqué en moyenne 24 000 applications malveillantes par jour en 2017.

Vigilance et agilité

Par une protection adéquate, il est possible, dans une certaine mesure, de se prémunir : algorithmes de chiffrement, dispositifs logiques comme les pare-feux, ou encore physiques comme les serrures à empreintes.

Pour vos projets d’applications mobiles et web, pensez au chiffrage des données pendant la période de stockage et pendant leur transfert. Globalement, de « bonnes pratiques » existent à différents stades du projet.

Lors de la phase de développement, il est nécessaire de bien soigner le code « afin de se protéger contre les attaques les plus connues. De nombreuses d’entre elles peuvent être neutralisées en ajoutant simplement une ligne de code, en évitant une fonction vulnérable ou utilisant une nouvelle version d’une extension », indique encore Aissam Outchakoucht.

Selon l’Agence française de la sécurité des systèmes d’information, la cartographie de ces derniers est également une pratique efficace. Sa vocation : constituer un système maîtrisé, protégé et résilient en cas d’attaque. L’organisme français préconise aussi l’élaboration de systèmes agiles pour coller, en continu, au plus près des risques réels, tout en assumant des risques résiduels.

Identification : une phrase plutôt qu’un mot

Côté pratique de l’utilisateur, nous avons, là aussi, tout à gagner à revoir nos pratiques : exit le prénom de ses enfants, son conjoint ou son animal domestique, les dates de naissance et autres références personnelles pour constituer son mot de passe.

On ne le note pas non plus sur un papier sous le clavier au bureau ni dans un document stocké sur son ordinateur ; on ne se l’envoie pas par e-mail pour le retenir. « Ces informations pourraient être extraites et utilisées en votre nom », prévient le consultant.

Il délivre également quelques astuces pour choisir un mot de passe sûr ET facile à retenir : « L’utilisation de phrases au lieu d’un seul mot a démontré son efficacité. L'idée est de jouer  sur la longueur du mot de passe plutôt que sur sa complexité. Une phrase est relativement plus facile à retenir vu qu'il y a une logique derrière. Par exemple, j’aurai du mal à me rappeler de « B2%9_"(& » or je peux facilement retenir la la phrase « JeNePeuxJamaisOublierLe03Juin ». La longueur évite d’avoir à renouveler trop souvent le mot de passe ».

Selon la criticité des données, un code (envoyé par téléphone ou mail, par exemple) peut compléter le dispositif d’identification.

Tester son système

Pour finir, il est possible – et recommandé – de faire tester régulièrement la robustesse de son système d’information. Des équipes sont spécialisées dans les tests d’intrusion et les audits de sécurité. Le procédé est « simple » : l’équipe va lancer des attaques réelles sur une partie de votre système, application, site web, etc., afin de voir comment il réagit.

La sécurisation de vos systèmes d’informations, ou encore les réflexions à mener en la matière lors de l’élaboration d’un projet, n’ont rien d’inné. Pensez à vous faire accompagner !

T. R.-A.

NIS/RGPD : un cadre législatif à respecter

En juillet 2016, l’Europe s’est dotée d’un texte intitulé Directive NIS, pour network and information system security.

La directive a pour but d’organiser la coopération politique et opérationnelle en matière de cybersécurité au sein de l’espace européen, afin d’y garantir l’intégrité des systèmes d’information et la protection des données personnelles. L’UE souhaite aussi prévenir des conséquences sur son marché intérieur.

En France, la transcription de cette directive s’appelle Règlement général sur la protection des données ou RGPD.

Il s’applique à tout organisme public ou privé qui traite des données personnelles, établi dans l’UE ou dont l’activité cible directement des résidents européens.

Par conséquent…

•      Vous, entreprise française, faites appel à un prestataire pour développer votre projet web/mobile. Celui-ci est basé au Maroc (ou tout autre pays étranger) ou…

•      Vous êtes une entreprise marocaine et développez un produit à destination du public européen…

•      Vous sous-traitez des données personnelles pour le compte d’une tierce société européenne…
 

… vous êtes concernés !

Pour en savoir plus sur vos obligations, vous pouvez consulter le site de la Commission de l’informatique et des libertés (Cnil), qui a notamment listé les bon réflexes à avoir.

Attention, l’une des instance de la Cnil peut sanctionner les responsables de traitements de données personnelles qui ne respecteraient pas les textes. Ces sanctions vont du rappel à l’ordre à l’amende administrative… C’est ce qui est arrivé ces derniers jours à la firme Google, à qui la Cnil impute une amende de plus de 50 M€ pour manque de transparence, absence de consentement valable pour la personnalisation de la publicité et manque de lisibilité de l’information.