La sécurité informatique est une sorte de fourre-tout dans lequel on trouve des
domaines de compétences biens différents. Deux courants de pensées majeurs se
présentent : la sécurité informatique contre les pannes matérielles ou logicielles
et la sécurité informatique contre l'espionnage et le piratage. L'une des différences
majeures entre ces deux familles, est que la première nécessite des compétences
techniques précises en informatique, télécommunication et électricité ainsi qu'une
grande sagesse ; là où la seconde demande plutôt des qualités psychologiques comme
l'extrême paranoïa et la schizophrénie. Un administrateur doit savoir se transformer
en une effroyable machine de guerre au moindre signe suspect.
Dans cet article, nous traiterons exclusivement de la sécurité contre l'espionnage
et le piratage. Il s'agit ici de se prémunir contre le vol d'informations confidentielles,
la détérioration, la modification d'information, bref contre l'intrusion. La sécurité
de l'information est à l'origine une tache qui n'a pas grand chose à voir avec
l'informatique : l'intrusion existe depuis bien plus longtemps.
Cependant, l'information étant à l'heure actuelle stockée sur support informatique,
il est devenu plus facile de s'introduire au coeur des entreprises en faisant l'économie
du déplacement - Un bon modem, un téléphone, et c'est parti. Du coup, les entreprises
ont mis leur sécurité entre les mains des administrateurs systèmes et réseaux,
oubliant parfois que ce n'est parce qu'une information est disponible sur le réseau,
qu'elle n'est disponible que sur le réseau. Une bonne politique de sécurité englobe
plus qu'une simple problématique technique.
Principes des architectures sécurisées contre le vol d’informations
La première étape à franchir est de définir le niveau de confidentialité de chaque
information. Il arrive très souvent que l’on perde du temps et de l’argent à vouloir
protéger des informations disponibles dans la revue de presse, sur le site de
la société ou dans le journal officiel. Soyons donc précautionneux et économisons
nos forces – nous en aurons grand besoin.
La deuxième étape consiste à recenser toutes les personnes de l’entreprise et
à dresser un tableau indiquant le type d’informations dont elles ont besoin pour
travailler dans de bonnes conditions. Ce tableau nous permet de définir des groupes
de personnes ayant les même droits. Ces groupes nous seront utiles lors de l’élaboration
du plan du réseau ainsi que pour son administration. En matière de sécurité de
l’information, il faut adopter la politique consistant à ne donner aucune informations,
sauf celles indispensables, plutôt que toutes les informations, sauf celles confidentielles.
N’oublions pas qu’il est impossible d’imaginer le type ou l’ampleur de l’attaque
choisie.
Une fois ces deux étapes franchies, il faut se préoccuper de la sécurité physique
des locaux. Un réseau parfaitement sécurisé n’est d’aucune utilité si n’importe
qui peut accéder à n’importe quel poste informatique sans problème. Outre une
porte blindée, une alarme et des caméras, pour éviter la plupart des intrusions
(à l’ancienne), il est bon de réfléchir à la disposition des bureaux et des personnes.
Le cloisonnement des personnes par groupes de connaissances (définis plus haut)
est une technique qui a fait ses preuves. Il permet d’éviter aux personnes d’entendre,
parfois par inadvertance, des bribes de discussions téléphoniques, de lire sur
les écrans en vis-à -vis ou encore d’avoir accès au courrier (papier) d’un autre,
déposé dans le pot commun du bureau. Passons maintenant a la sécurité informatique.
On peut séparer les entreprises équipées de matériel informatique en trois catégories
: celles qui ont un réseau d’entreprise ferme, celle qui on un réseau d’entreprise
communiquant avec l’Internet et celles qui font du commerce électronique ou du
service en ligne. Les trois catégories ont en commun l’existence d’un réseau interne
; c’est donc par la que nous allons commencer.
Téléchargez gratuitement cette ressource
Protection des Données : 10 Best Practices
Le TOP 10 des meilleures pratiques, processus et solutions de sécurité pour mettre en œuvre une protection efficace des données et limiter au maximum les répercutions d’une violation de données.
