Informatique et sécurité...
Pourquoi donc ce texte si loin des préoccupations culturelles et ludiques de mon blog. La politique de sécurité, la nécessité de réprimer, des stratégies pour contrer les délinquants…
ce n’est pas vraiment moi, cela, cela ne me ressemble pas… comme dirait Lionel J.
Tout d’abord, quand vous arrivez au bureau et que vous avez 100 spams stupides cherchant à vous allonger le pénis, à vous vendre des montres ou à vous faire ingérer du viagra en
matant les fesses d’une Lolita slave… cela irrite quelque peu ! Une véritable mafia s’est structurée autour du commerce du Net et malgré mon peu de goût pour les règles, celles de la loi du
plus fort, dans ou hors du système ne sont pas pour me plaire.
Alors quand une amie m’a demandé de l’aider à faire une fiche sur ce thème pour son mémoire de fin d’études, je me suis passionné. J’ai foncé dans l’histoire incroyable des
nouveaux pirates du Net et je me suis pris au jeu d’être un gardien du temple. Je ne le regrette pas… même si je viens de terminer la saga des 3 volumes du Millénium. A ce propos, je vous
conseille de les lire instamment. Quand une république des hackers se dessine… (il faudra attendre d’avoir dévoré le 3ème tome pour comprendre cette phrase), quand les hackers ont les
traits et la personnalité de Lisbeth, quand l’effraction est au service de la vérité…alors, on ne peut que les aimer et accepter leurs contorsions avec les règles. Mais on est dans la
fiction ! Dans la réalité, une bande de vautours pillent, grugent, torpillent et volent les plus faibles, escroquent sans foi, profitent sans loi ! Le défenseur de la veuve et de
l’orphelin qui sommeille en moi ne peut alors que se dresser contre ces malfrats invisibles qui trament leurs méfaits à l’ombre d’une toile derrière laquelle ils sont tapis avec leur sourire
sanguinaire !
La politique de sécurité de l’information et des systèmes d’information pour les années à venir.
Le temps de l’amateurisme est révolu. La période où des « hackers » romantiques défiaient les systèmes de protection par bravade s’est achevée par des films Hollywoodiens. Depuis 2005,
aucune grande attaque de « ver planétaire » cherchant à paralyser un parc d’ordinateurs n’a eu lieu. Désormais, la criminalité cybernétique est le fait de réseaux structurés,
professionnels, en pointe de la technique, dont le but unique est la recherche de profits par tous les moyens illégaux. Les attaques cybernétiques se font plus discrètes, et sont d’autant plus
dangereuses. Elles sont le fait de « pirates » structurés à l’échelle internationale qui se radicalisent et opèrent avec des modes de fonctionnement de plus en plus sophistiqués. Les
entreprises en sont la cible principale. Une enquête récente du CLUSIF (club de la sécurité des systèmes d’information français) démontre que les attaques informatiques en 2006 coûtent déjà plus
cher que le vol dans les entreprises.
La situation dans les entreprises.
D’après cette étude du CLUSIF de juin 2006, 98% des entreprises de plus de 200 employés avouent une dépendance modérée ou forte devant l’informatique. Si les entreprises prennent réellement
conscience de leur dépendance, seules 56% sont dotées d’une PSI (Politique de Sécurité de l’Information)… même si cela représente une progression de plus de 15 points en 2 ans. Le point noir est
que seulement 38% des entreprises prévoient une augmentation de leurs budgets concernant la sécurité du système d’information.
Le système d’information s’appuie sur les technologies numériques d’information et de communication (le réseau Internet) facteur de compétitivité, vitrine de l’entreprise… mais qui rend
vulnérable l’entreprise à toute une série de manipulations et de détournements potentiels de fonds et d’informations.
L’entreprise se doit de :
1) Prévenir les diffusions intempestives d’informations confidentielles.
2) Agir contre les manipulations d’informations la concernant.
3) Empêcher la captation illégale de ses informations.
Pour ce faire, il est indispensable d’adopter une Politique de Sécurité de l’Information (PSI) afin d’assurer la disponibilité des ressources et des informations, l’intégrité des données et la
confidentialité des informations traitées.
Sa mise en place implique :
1) Etablir des règles, procédures et bonnes pratiques à mettre en œuvre.
2) Désigner les personnes en charge et les actions à entreprendre en cas de risque avéré.
3) Sensibiliser les utilisateurs aux menaces qui pèsent sur le système d’information.
4) Prendre les mesures nécessaires pour réduire ou assumer les risques.
Cette politique s’appuie sur une analyse des « actifs » (biens et ressources humaines de l’entreprise concernés par l’information). Ce dispositif doit être global, rattaché directement
à la direction générale. Il portera en priorité sur l’organisation interne et sur le système d’information, mobilisera le personnel et les partenaires de l’entreprise et couvrira l’ensemble de la
communication et la diffusion d’informations la concernant.
Des outils pour une stratégie.
Il existe des outils qui permettent de classer les actifs et d’apprécier les risques afin de les traiter. Ils ne sont malheureusement utilisés que par une entreprise sur deux et 1/3
seulement s’inscrivent dans une démarche plus large de management de la sécurité s’appuyant sur une norme ISO.
Les principaux modèles permettant d’élaborer une PSI existants sont :
-Le MEHARI (Méthode Harmonisée d’Analyse de Risque) qui est développé par le CLUSIF.
-L’EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) qui est développé depuis 1995 par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information).
-Le COBIT ( Control Objectives for Business § Related Technology) de maîtrise et d’audit des systèmes d’information éditée par l’ISAC (information System audit et control)
D’une façon plus globale, il existe des normes ISO portant sur la sécurité des systèmes d’information.
La norme ISO/IEC 17799 : 2005
Cette norme internationale constitue un « guide des bonnes pratiques » en matière de sécurité de l’information.
La norme ISO/IEC 27001 : 2005
Cette norme spécifie un Système de Management de la Sécurité de l’Information (SMSI).
Conclusion.
Bien que les entreprises prennent conscience et progressent dans la gestion du risque notamment en formalisant des chartes de sécurité, en recensant les actifs clés, en développant des conduites
d’analyse de risque ou d’actions d’audit et de contrôle, la situation risque de s’aggraver devant les défis lancés par des réseaux de cybercriminalité de plus en plus sophistiqués.
Afin de maîtriser son avenir, le monde de l’entreprise se doit de parer à la menace terrible qui pèse sur son réseau d’information. Les profits colossaux des criminels nous font bien sentir la
dimension de ce risque et le facteur de déstabilisation induit par la puissance des attaques sur ce talon d’Achille du monde de l’entreprise. La riposte doit être à la hauteur de cette menace.
Il est désormais indispensable d’investir massivement dans le secteur de la protection de l’information au niveau de chaque entreprise.
Il est indispensable que les directions générales décrètent un état de guerre économique concernant la protection de leurs réseaux d’information. Les entreprises se doivent d’élaborer des PSI
(Politique de Sécurité de l’Information) plus rigoureuses. Le plan de continuité d’activité et les tableaux de bords sont indispensables pour lutter efficacement contre toute intrusion dans le
réseau d’informations à protéger.
Mais l’action des entreprises doit absolument être complétée par une démarche de réglementation provenant des états et des instances internationales. Dans cet espace de liberté que représente
Internet, l’espace des criminels cybernéticiens doit se réduire et leurs actes délictueux trouver une sanction.
Un immense chantier attend les hommes d’états et les chefs d’entreprises. C’est à ce prix que la gestion globale du risque devrait amener une amélioration de la situation et une sécurisation des
réseaux d’informations.
Et dire que j’en suis arrivé là ! En me relisant, je me souviens de l’espoir fou qu’avait engendré la naissance de l’informatique. J’avais 30 ans en 1980 quand sont apparus les
premiers ordinateurs. C’était une révolution dont nous pensions vraiment qu’elle allait permettre l’émancipation des travailleurs, l’expression plus large d’une population en souffrance de moyens
de communiquer, une démocratisation de la communication.
Comme tout le monde, j’ai suivi des stages d’initiation au langage informatique, d’utilisation de ces machines à rêves. J’ai participé à des débats, pondu des textes sur cette
formidable déflagration que nous vivions en direct ! Qu’en reste-t-il plus de 25 ans après, sinon que la vie a changé profondément en une poignée d’années, que cette révolution a vraiment eu
lieu… sans que nous nous en soyons rendus compte et pas forcément pour le bien de l’humanité !
L’entreprise, la maison, l’esprit même se sont formatés à la présence d’une informatique de plus en plus totalitaire. La carte bleue, les soins médicaux, les paiements en ligne, les
systèmes les plus sophistiqués des entreprises, des administrations, les jeux d’écritures (5 milliards d’€ envolés à la Société Générale par une manipulation de quelques lignes en compensation et
au mépris de toutes ces sacro-sécurités dépeintes dans cet article), toute notre vie est désormais dépendante de quelque chose qui est devenu totalement hermétique et que l’on sait absolument
perfectible.
Il n’y a que les pauvres pour croire que le monde peut changer, les riches eux, savent que la nature est ainsi faite que seuls les possédants peuvent accéder à la puissance.
L’informatique n’est alors que le reflet déformé de nos faiblesses, une jungle dans laquelle il n’y a aucune raison pour que les loups ne dévorent point les agneaux !
Commenter cet article