La sécurité · à l’usage des PME et des TPE 6 juin 2005 Centre français de réflexion sur la...

La sécurité à l’usage des PME et des TPE

6 juin 2005 © etna France – Voir en dernière page pour les droits de reproduction 1/37


6 juin 2005

Centre français de réflexion sur la sécurité des systèmes d’information

Collection Ténor – etna France

Ouvrage collectif sous la direction de Gérard Péliks

Ont contribué jusqu’à aujourd’hui à la rédaction de ce livre :

Marie-Agnès Couwez, Alain Germain, Michèle Germain, Mauro Israel, Gérard Peliks



La sécurité......................................................................................................1 1 Pourquoi sécuriser son système d’information ? ...................................................................................5

1.1 Pourquoi et pour qui ce livre est écrit ? ..........................................................................................5 1.2 Les enjeux et chiffres clés de la sécurité........................................................................................5 1.3 Dépendance technologique et compétivité des PME françaises ......................................................5 1.4 Les fondamentaux de l'Intelligence économique .............................................................................5 1.5 Pourquoi investir dans un environnement de confiance ? ................................................................6

1.5.1 Un enjeu pour les dirigeants d'entreprise.................................................................................6 1.5.2 Les risques financiers ............................................................................................................6 1.5.3 Enjeux économiques et pérennité de l'entreprise .....................................................................6 1.5.4 Le cadre juridique ..................................................................................................................6 1.5.5 Le facteur humain..................................................................................................................6 1.5.6 Cas pratique .........................................................................................................................6

1.6 La cybercriminalité : les PME sont-elles A l'abri ? ...........................................................................6 1.7 Spyware, phishing, virus.... même combat .....................................................................................6 1.8 Les menaces sur votre messagerie ...............................................................................................6 1.9 Les menaces sur votre Web..........................................................................................................6 1.10 Les menaces sur la disponibilités de vos informations .................................................................6

1.10.1 Les attaques par déni de service distribué...............................................................................6 2 Les éléments matériels et logiciels de la sécurité ..................................................................................7

2.1 L’authentification ..........................................................................................................................7 2.1.1 L'authentification forte pour la sécurisation des accès ..............................................................7 2.1.2 La gestion des identités .........................................................................................................7

2.2 Dissimuler l’information.................................................................................................................7 2.2.1 Les principes du chiffrement ...................................................................................................7 2.2.2 Les principes des réseaux privés virtuels ................................................................................7 2.2.3 La stéganographie.................................................................................................................7

2.3 Le meilleur compromis coût/fonctionnalité grâce aux coupes-feux tout en un ...................................8 2.4 Les appliance multi fonction pour les PME .....................................................................................8 2.5 Sécuriser les accès Web aux applications d'entreprise ...................................................................8 2.6 Le contrôle et le filtrage du contenu ...............................................................................................8 2.7 Se sécuriser par des logiciels libres ? ............................................................................................8

2.7.1 Les caractéristiques des logiciels libres ...................................................................................8 2.7.2 Les principaux logiciels libres ............................................................................................... 10 2.7.3 Les apports des logiciels libres à la sécurité .......................................................................... 11 2.7.4 Les embûches liées à l’utilisation des logiciels libres (et comment les éviter)........................... 14 2.7.5 Bilan ................................................................................................................................... 16

3 Les services ..................................................................................................................................... 18 3.1 Concilier sécurité et simplicité d'administration ............................................................................. 18 3.2 les aspects de noms de domaines sur Internet ............................................................................. 18 3.3 Analyse de risques ..................................................................................................................... 18 3.4 Politique de gestion de vulnérabilités et des correctifs................................................................... 18 3.5 Plans de continuité d'activité ....................................................................................................... 18 3.6 Le déploiement des patchs ......................................................................................................... 18 3.7 la détection d’intrusions .............................................................................................................. 18 3.8 Externaliser sa sécurité ?............................................................................................................ 18

3.8.1 Externaliser la veille stratégique ........................................................................................... 18 3.8.2 Externaliser la détection d’intrusions ..................................................................................... 18 3.8.3 Externaliser la gestion des outils de sécurité ......................................................................... 18 3.8.4 Externaliser la sauvegarde des données ............................................................................... 18 3.8.5 Externaliser le site Web institutionnel .................................................................................... 18 3.8.6 Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance ?........ 18

3.9 Infrastructure de solutions de sécurité orientées service ............................................................... 18 4 Quelques applications devant être sécurisées .................................................................................... 19

4.1 L’entreprise sans fil .................................................................................................................... 19 4.1.1 L’informatique sans fil .......................................................................................................... 20



4.1.2 La téléphonie sans fil ........................................................................................................... 20 4.1.3 Recommandations............................................................................................................... 22

4.2 ToIP et Sécurité ......................................................................................................................... 22 4.3 la signature électronique ............................................................................................................. 22

4.3.1 Les deux piliers de cette technologie .................................................................................... 22 4.3.2 La signature électronique en théorie ..................................................................................... 24 4.3.3 La signature électronique en pratique ................................................................................... 25 4.3.4 Mais est-ce bien légal et reconnu ?....................................................................................... 26 4.3.5 L’avenir de la signature électronique ..................................................................................... 26

4.4 La sécurité des outils nomades ................................................................................................... 26 4.4.1 L’ordinateur portable ............................................................................................................ 26 4.4.2 Le PDA ............................................................................................................................... 26 4.4.3 Les téléphones mobiles ....................................................................................................... 26

4.5 Le vote électronique ................................................................................................................... 26 5 L’aspect humain de la sécurité........................................................................................................... 27

5.1 Comment influer sur les comportements à risques ?..................................................................... 27 5.2 Quelle politique de sécurité pour une PME ? ................................................................................ 27

6 L’aspect économique de la sécurité ................................................................................................... 28 6.1 La gestion de crise pour une PME PMI ........................................................................................ 28 6.2 Associez votre budget sécurité à vos enjeux ................................................................................ 28

7 L’aspect juridique de la sécurité......................................................................................................... 29 7.1 Les nouvelles règles juridiques de la cybercriminalité: victime donc responsable ............................ 29 7.2 A qui s’adresser après une attaque ?........................................................................................... 29

8 Dix mesures concrètes pour sécuriser votre PME connectée ............................................................... 30 8.1 Ce que vous n'avez peut-être pas encore: ................................................................................... 30 8.2 Ce qu'il faut renforcer: ................................................................................................................ 31 8.3 Renforcement des méthodes: ..................................................................................................... 32 8.4 Protection des données: ............................................................................................................. 32

9 Bibliographie et références ................................................................................................................ 33 9.1 Général ..................................................................................................................................... 33 9.2 Juridique.................................................................................................................................... 33 9.3 Les pointeurs de Mauro Israel ..................................................................................................... 33

10 Glossaire ...................................................................................................................................... 35 10.1 Acronymes ............................................................................................................................. 35 10.2 Définitions .............................................................................................................................. 35

11 Contributions à l’écriture de ce livre ................................................................................................ 36



1 POURQUOI SECURISER SON SYSTEME D’INFORMATION ?

1.1 POURQUOI ET POUR QUI CE LIVRE EST ECRIT ? Auteur : Marie-Agnès Couwez, [email protected]

Un seul objectif, ambitieux certes, à ce livre :

Chers lecteurs, devenez ACTEURS !

Connaissez et maîtrisez les risques, les nuisances, liés à l’usage de vos ordinateurs en réseau, de votre messagerie, de l’internet.

Ce livre est destiné aux très petites, petites et moyennes entreprises (TPE et PME) qui ne disposent pas en interne de personnel spécialiste de ces questions.

Et pourtant, elles doivent mettent en œuvre, gérer et sécuriser au quotidien leur réseau informatique, de nouveaux outils technologiques, et l’ensemble des réseaux de communication qui constituent aujourd’hui la base de l’activité de production, de gestion et de développement d’une entité.

Compte tenu de la similitude en matière d’organisation qui peut exister avec des collectivités locales de petites tailles, ce livre leur est aussi destiné, hormis ce qui pourrait relever de spécificités dues à leur caractère public.

Dans la société de l’information actuelle, le poste informatique de voilà quelques années est devenu « système d’information » de part ses interconnexions. L’entreprise échange des informations avec ses salariés, ses clients, ses fournisseurs, au moyen de la messagerie, donc de l’Internet, d’un Intranet ou d’un Extranet. Elle communique aussi avec des outils multi fonctions comme le téléphone portable ou l’assistant personnel (PDA) et se lance maintenant dans la téléphonie sur Internet (VoIP).

Elle utilise quotidiennement des applications qui lui permettent de se développer et d’assurer sa gestion. Avec ce livre, nous souhaitons :

w Attirer votre attention sur les ressources critiques pour votre activité

w Indiquer les principaux risques et nuisances liés à l’usage des technologies

w Vous fournir des éléments de réponse dans chaque cas.

Et maintenant un mini quiz :

w Avez-vous au moins un ordinateur, portable ou fixe, connecté à un réseau ?

w Utilisez-vous une messagerie ?

w Votre entreprise est-elle en réseau ?

w Utilisez-vous des connections sans fil (WiFi) ?

w Avez-vous un site internet ?

Si vous répondez oui à au moins une de ces questions, ce livre est fait pour vous !

1.2 LES ENJEUX ET CHIFFRES CLES DE LA SECURITE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]

1.3 DEPENDANCE TECHNOLOGIQUE ET COMPETIVITE DES PME FRANÇAISES

1.4 LES FONDAMENTAUX DE L'INTELLIGENCE ECONOMIQUE Auteur : Jean-Philippe Bichard (NetCost&Security) [email protected]



1.5 POURQUOI INVESTIR DANS UN ENVIRONNEMENT DE CONFIANCE ? Auteur : Eléonore Estadieu (MSI) [email protected]

1.5.1 Un enjeu pour les dirigeants d'entreprise

1.5.2 Les risques financiers

1.5.3 Enjeux économiques et pérennité de l'entreprise

1.5.4 Le cadre juridique

1.5.5 Le facteur humain

1.5.6 Cas pratique

1.6 LA CYBERCRIMINALITE : LES PME SONT-ELLES A L'ABRI ? Auteur : Franck Franchin (France Télécom) [email protected]

1.7 SPYWARE, PHISHING, VIRUS.... MEME COMBAT Auteur : Yann Berson (Webwasher) [email protected]

1.8 LES MENACES SUR VOTRE MESSAGERIE

1.9 LES MENACES SUR VOTRE WEB

1.10 LES MENACES SUR LA DISPONIBILITES DE VOS INFORMATIONS

1.10.1 Les attaques par déni de service distribué



2 LES ELEMENTS MATERIELS ET LOGICIELS DE LA SECURITE

2.1 L’AUTHENTIFICATION

2.1.1 L'authentification forte pour la sécurisation des accès Auteur : Loïc Caradec (ActivCard) [email protected]

2.1.2 La gestion des identités Auteur : Marie-Agnès Couwez, [email protected]

2.2 DISSIMULER L’INFORMATION

2.2.1 Les principes du chiffrement

2.2.2 Les principes des réseaux privés virtuels

2.2.3 La stéganographie Auteur : Gérard Péliks (EADS) [email protected]

Article écrit pour Netcost&Security

Pour assurer la confidentialité des informations sensibles qui transitent entre deux réseaux sûrs, en empruntant un réseau public tel l’Internet, chiffrer ces informations est une bonne solution. Cela consiste à rendre au moyen d’un algorithme de brouillage et en utilisant une clé de chiffrement, cette information incompréhensible jusqu’à ce qu’elle soit déchiffrée à l’autre bout du réseau, connaissant l’algorithme de chiffrement et la clé de déchiffrement.

Suivant la taille des clés et les algorithmes utilisés, cette méthode pourrait être considérée comme parfaite si elle ne pêchait sur un point : si l’information est chiffrée, c’est justement qu’elle présente un intérêt donc il peut être utile à ceux à qui on cache cette information de mettre en action les moyens de calcul pour la déchiffrer.

Si l’information chiffrée incite ceux à qui elle est dissimulée d’essayer de découvrir quel secret elle renferme, autant ne rien cacher pour éviter d’attirer l’attention sur cette information ! Mais il n’est pas question non plus de laisser passer cette information en clair sur un réseau non sûr ou de l’archiver sur un média qui pourrait être lu. La stéganographie, à ne pas confondre avec la sténographie, répond à cette faiblesse. La stéganographie est l’art de dissimuler une information en clair dans un message en clair qui paraîtra anodin et cachera l’information sensible qu’il contient. Un texte paraîtra banal et sans intérêt sauf si par exemple on lit un mot sur trois, ou le cinquième mot de chaque phrase.

Un exemple littéraire célèbre de stéganographie nous est donné par un échange épistolaire entre George Sand et Alfred de Musset. George Sand envoie à Alfred de Musset un poème merveilleux de romantisme et de pureté mais lu une phrase sur deux, le poème apparaît comme n'étant pas si romantique, et plutôt pour le moins direct. Alfred de Musset répondit à son amie George Sand par un autre poème, également pure merveille de romantisme, mais en lisant seulement le premier mot de chaque vers, le poème devenait une proposition plutôt indécente. Et George Sand répondit à cette invitation par deux vers utilisant la même clé, lire le premier mot de chaque vers, qui donnait le renseignement demandé :

Cette grande faveur que votre ardeur réclame

Nuit peut-être à l'honneur mais répond à ma flamme.

On trouve un autre exemple de stéganographie dans le film d’Alfred Hitchcock, le rideau déchiré, où des secrets d’état transitent vers les pays de l’Est dissimulés dans une partition musicale. En fait dans la partition, une seule note noire qui aurait du être blanche contenait miniaturisée toute l’information d’un aéronef, nous étions à l’époque en pleine guerre froide. Seule une personne



connaissant bien toutes les notes de cet opéra aurait pu s’apercevoir de la supercherie, et encore fallait-il qu’il ne pensât point que la noire au lieu de la blanche était une simple erreur et disposât d’un microscope électronique pour visualiser l’information (textes, équations, schémas) cachée dans la note.

Ne peut-on penser qu’une banale bande vidéo enregistrée de Ben Laden où il est question de combats contre le Satan, mais rien de très concret, ne cache en arrangeant les mots, en décodant les images ou même en analysant les fréquences de la parole, des annonces très concrètes comme des objectifs à détruire ? La CIA y pense bien sûr et ces bandes sont analysées dans leurs moindres détails.

En poussant plus loin la stéganographie-mania, des analystes essayent de trouver dans la bible des messages cachés et affirment que la bible révèlera tout l’avenir de l’humanité à ceux qui en possèdent les clés. Laissons à ces auteurs la responsabilité de leurs affirmations mais il faut reconnaître que certaines sont troublantes à moins que le hasard des mots ne soit expliqué par la science des statistiques. On ne pourrait rêver d’un meilleur média pour véhiculer des informations cachées qui traversent les siècles.

Donnons un exemple un peu plus technique, très employé : dissimuler l’information sensible dans une image banale comme vos photos de vacances ou vos portraits de famille. Une image est constituée de pixels qui sont des points élémentaires colorés par un niveau de bleu, de vert et de rouge. Chaque pixel est formé d’un octet (8 bits) pour le bleu, un octet pour le vert et un octet pour le rouge. La combinaison de ces trois couleurs fondamentales donne le point coloré. Supposons qu’on réserve le dernier bit de chacun des 3 octets de chaque pixel pour constituer un message caché. La dégradation de l’image sera imperceptible. On peut ainsi utiliser le huitième de la taille de l’image pour cacher un message. Bien malin est celui qui se doute qu’une image d’un paysage de vacances, envoyé, par messagerie en pièce jointe à un partenaire, contient caché la liste de prix d’une gamme de produits avec les remises consenties à ce partenaire.

On pourrait penser que l’opération est séduisante sur le plan technique mais difficile à réaliser dans la pratique ? Il n’en est rien, il suffit d’utiliser l’interface conviviale d’un outil de stéganographie, on en trouve des gratuits sur l’Internet. Pour ma part, j’utilise Steganozorus et j’ai fait passer bien des messages secrets dans les images que j’attache à certains de mes courriels et je n’ai vu personne chercher des messages cachés dans mes photos de vacances.

2.3 LE MEILLEUR COMPROMIS COUT/FONCTIONNALITE GRACE AUX COUPES-FEUX TOUT EN UN Auteur : Dominique Meurisse (Netasq) [email protected]

2.4 LES APPLIANCE MULTI FONCTION POUR LES PME

2.5 SECURISER LES ACCES WEB AUX APPLICATIONS D'ENTREPRISE

2.6 LE CONTROLE ET LE FILTRAGE DU CONTENU Auteur : Gabriel Gross (Dolphian) [email protected]

2.7 SE SECURISER PAR DES LOGICIELS LIBRES ? Auteur : Alain Germain (Idsoft) [email protected]

2.7.1 Les caractéristiques des logiciels libres Introduction :

Sur Internet, si vous lancez une recherche avec GOOGLE avec l’expression « logiciel libre », vous obtenez 798000 réponses.

Alors, marginal le phénomène logiciel libre ? Pas vraiment….

En tous cas, à défaut d’utilisation généralisée, on en parle beaucoup.



Plutôt que de rédiger cette partie de l’ouvrage dans un style doctoral (qui a dit ennuyeux ?), j’ai préféré un mode plus vivant sous forme de questions-réponses ce qui, à mon avis, présente 2 avantages :

• indiquer modestement que cet exposé est forcément incomplet,

• rendre la lecture plus vivante et plus concrète.

Toutes les questions évoquées ci après, je me les suis posées à un moment ou à un autre.

L’avantage que vous avez sur moi, c’est de trouver immédiatement les réponses dans les pages qui suivent tandis qu’il m’a fallu plusieurs jours ou plusieurs semaines pour arriver au même résultat.

Qu’est ce qu’un logiciel libre ? :

Selon l’AFUL (Association Francophone des utilisateurs de Linux et des logiciels libres) :

« sont considérés comme libres des logiciels disponibles sous forme de code source, librement redistribuables et modifiables selon les termes d’une licence de type GPL ou avoisinante ».

On trouve souvent dans la littérature anglo-saxonne le terme « Open Source ». En fait « Logiciel libre » en est la traduction francophone.

Qu’est que la licence GPL ? :

« Licence GPL » est la traduction francophone de « General Public License ».

C’est un ensemble de règles qui définit les droits et les devoirs des concepteurs, distributeurs et utilisateurs des logiciels libres. (Il existe d’autres formes de licences dérivées mais la GPL est très souvent utilisée).

Cette licence est l’équivalent (sur le plan juridique), des « conditions générales d’utilisation » que l’on trouve en tous petits caractères avec les logiciels propriétaires du commerce mais, à la différence de celles ci, qui cherchent à restreindre par tous les moyens vos droits d’utiliser, diffuser, recopier le logiciel, la licence GPL cherche, au contraire, à étendre les conditions d’utilisation dans le respect des droits fondamentaux des concepteurs et des utilisateurs.

Quelles sont les principales caractéristiques communes des logiciels libres ?

Les conditions détaillées sont disponibles (en anglais) sur le site :

www.opensource.org

Pour faire simple :

• liberté de diffuser et d’utiliser le logiciel sous réserve de diffuser également les termes de la licence qui le gère.

• liberté de connaître le fonctionnement détaillé du logiciel par le code source qui doit être diffusé (ou mis à disposition, par exemple sur Internet) par le concepteur.

On verra plus loin les conséquences de cette règle en terme de sécurité. • liberté de modifier ou d’intégrer tout ou partie d’un logiciel libre existant dans son propre

logiciel à condition d’étendre les règles de la licence du logiciel d’origine au logiciel « enveloppe ».

Un logiciel libre est -il gratuit ? :

Pas forcément…

Mais comme un logiciel libre qui emploie des composants libres et gratuits (provenant de Linux par exemple) ne peut être lui-même que gratuit, on conçoit que le nombre de logiciels libres payants soit singulièrement limité.

Par contre les services associés à ces logiciels (supports de distribution, manuels, assistance technique, développements spécifiques, formation, etc…) sont en général rémunérés.

Comment est -il possible que des logiciels diffusés gratuitement offrent des performances identiques ou meilleures que celles de logiciels du commerce ? :

Difficile à croire mais pourtant c’est vrai !



Les équipes de développement des projets importants sont loin d’être pléthoriques (une dizaine à une centaine de personnes au maximum) mais sont extrêmement compétentes dans leur domaine.

Les recettes proviennent de dons de particuliers ou d’entreprises, de ventes de produits dérivés et surtout de prestations spécifiques permettant d’assurer un revenu correct aux participants.

Il est clair qu’au royaume des logiciels libres, l’appât du gain n’est pas le moteur principal de motivation.

De plus et par le biais d’Internet, beaucoup de bénévoles répartis dans le monde entier (plusieurs milliers dans le cadre de projets importants) apportent leur contribution en réalisant des travaux annexes mais absolument indispensables tels que les tests logiciels, l’administration des versions successives, la réalisation de la documentation, les traductions, le packaging, etc…

La seule motivation de ces personnes est d’apporter leur pierre à l’édification de l’entreprise commune (toute ressemblance avec les contributeurs du présent ouvrage ne serait pas fortuite).

2.7.2 Les principaux logiciels libres

2.7.2.1 applications système, réseaux Je suppose que vous voulez parler de Linux ? :

En effet, mais pas uniquement. Il existe d’autres systèmes d’exploitation (FreeBSD par exemple) mais leur diffusion reste marginale.

Le développement de Linux a été entrepris en 1991 par un étudiant à l’université d’Helsinki, Linus Torvalds qui souhaitait construire un nouveau système d’exploitation en s’inspirant du système Unix qui existait déjà depuis plus de trente ans.

Son travail a attiré l’attention de très nombreux universitaires dans le monde entier qui, grâce à l’ Internet, ont apporté leur pierre à l’édifice et permis d’obtenir ce qu’est Linux aujourd’hui.

Même si la diffusion de Linux reste encore modeste, il est des secteurs où sa part de marché est importante. Environ 25% des serveurs Internet fonctionnent sous Linux. Dans les autres secteurs, la progression de Linux est variable mais elle est générale. De plus en plus de personnes apprécient la qualité des logiciels libres, la sécurité et la gratuité.

Il faut absolument citer deux logiciels libres utilisés pour les applications réseaux : • « Samba » » est un logiciel utilisé dans un réseau local pour relier des postes de travail

dans des environnements hétérogènes (Linux, Windows, Apple, etc…). Il est vraiment incontournable dès qu’il s’agit de faire dialoguer et échanger plusieurs machines en local.

• « Apache » est un logiciel serveur Web. Aujourd’hui, 60% des serveurs Web utilisent ce logiciel pour gérer les échanges.

En fait, sans Internet, Linux n’existerait peut être pas et sans Linux et les logiciels libres, la révolution Internet n’aurait sans doute pas eu lieu.

2.7.2.2 applications généralistes (Web, bureautique, multimédia) Existe-il- des logiciels libres fonctionnant sous Windows ? :

De plus en plus de développeurs proposent des versions de leurs logiciels libres fonctionnant également sous Windows.

La plus grosse partie du travail de développement se trouve dans la définition des caractéristiques et la programmation des fonctionnalités; ceci se fait indépendamment du système d’exploitation sur lequel le logiciel sera réalisé.

L’adaptation du logiciel à un système vient en tout dernier et consiste à apporter quelques retouches spécifiques, à compiler le programme avec les bibliothèques de chaque système et à élaborer les procédures d’installation.

Cette conception multi-systèmes permet une diffusion beaucoup plus large des logiciels pour la plus grande satisfaction des utilisateurs et des développeurs.



Puis-je retrouver, dans les logiciels libres, l’équivalent des logiciels commerciaux que j’utilise? :

Plusieurs centaines d’applications libres sont disponibles.

Plutôt que de tenter de dresser une liste exhaustive, je préfère indiquer quelques logiciels que j’utilise au quotidien et dont je garantis la qualité de réalisation et la richesse des fonctions.

• « Firefox » est un navigateur Web extraordinaire. Occupant peu de volume en mémoire, très rapide, il est extrêmement sécurisé : il n’accepte pas les « contrôles Active X » susceptibles de contenir des codes nuisibles. Il est possible de lui adjoindre un grand nombre de « plugs -ins » pour améliorer ses possibilités (en particulier « Adblock » qui permet de bloquer l’affichage de pages ou de messages de publicités ).

• « Thunderbird » est un logiciel de messagerie très convivial et très bien sécurisé. Il dispose en standard d’un module de filtrage des « spams » par auto-apprentissage. Après quelques jours, il est capable de rejeter entre 95 et 99% des messages polluants.

• « Open Office » est une suite complète d’outils bureautiques comprenant un traitement de texte, un tableur, un logiciel de présentation et en prime, un outil de dessin. Bien qu’il utilise un mode de stockage des données différent de celui de la suite « Office » de Microsoft, il est capable de récupérer tous les documents générés sous « Word », « Excel » et « Powerpoint ». Par contre si les documents comportent des « macros », celles ci ne seront pas récupérées ce qui est plutôt une bonne chose car elles sont parfois un vecteur important de transmission de codes nuisibles.

• « MySql » est un gestionnaire de bases de données, concurrent crédible de « Access ». • « Gimp » est logiciel de retouches et de traitement d’images.

• « Mplayer » est un lecteur multimédia qui lit à peu près tous les formats audio et vidéo. • « K3B » permet de graver tous les formats de CD (données, musique, etc..)

2.7.2.3 applications spécifiques Si j’envisage une migration sous Linux, puis-je continuer à utiliser les logiciels spécifiques que j’avais fait développer pour mes propres applications? :

Tout dépend de quelle façon et avec quel langage, ces logiciels ont été développés.

Si ceux ci ont été développés en « langage C » ou en « Java » vous n’aurez sans doute pas de gros problèmes pour les adapter sous Linux (Linux lui-même est développé en « langage C »).

Dans les autres cas, la charge de travail nécessaire est à établir au cas par cas.

Si le travail est important ou que vous ne pouvez pas disposer du code source, il reste peut-être une solution :

Il est existe un logiciel libre spécialisé « Wine » qui permet de faire fonctionner sous Linux des logiciels développés pour Windows.

Le résultat n’est pas garanti. Vous pouvez avoir une compatibilité totale, pas de fonctionnement du tout ou perdre certaines fonctionnalités. Dans tous les cas, cela vaut la peine d’essayer…

2.7.3 Les apports des logiciels libres à la sécurité

2.7.3.1 sécurité système Pouvez vous m’expliquer pourquoi un système Linux serait plus sûr qu’un système Windows ? :

Au départ, Windows a été conçu comme un système à interface graphique, intuitif, facile à utiliser de manière à séduire le plus grand nombre possible de personnes. A cette époque cet objectif n’était pas si facile à réaliser compte tenu des possibilités limitées des matériels et il a été nécessaire de faire des sacrifices et des compromis sur certaines caractéristiques (dont les aspects de sécurité).

En bref, Windows a été bâti comme un système convivial mais peu protégé et tous les ajouts ultérieurs concernant la sécurité ont consisté à corriger les failles, au fur et à mesure de leur découverte, par des rustines logicielles.



Pour être objectif, des progrès importants ont été réalisés (avec XP SP2 en particulier) mais il faudra attendre la sortie du prochain système d’exploitation de Microsoft (Longhorn) pour bénéficier (je l’espère !) d’un système véritablement sécurisé.

Au contraire, Linux prend en compte les impératifs de sécurité dès la rédaction du cahier des charges. « Linux doit être un système multi-tâches et multi-utilisateurs où toutes les données et toutes les applications de chaque personne sont gérées sans risques et sans interférences ».

Le développement de Linux s’est fait à partir de ces principes qui n’ont jamais été transgressés au cours de l’évolution du système.

Tout au plus a-t-on ajouté des utilitaires graphiques conviviaux pour faciliter la gestion de la sécurité.

Comment la sécurité des données et des applications est-elle gérée au quotidien sous Linux ? :

C’est un des aspects importants de la sécurité et tout à fait représentatif de la manière dont Linux traite ce genre de questions, c’est à dire de façon simple et compréhensible.

Linux connaît quatre catégories possibles d’intervenants possibles (n’oublions pas que Linux est un système multi-utilisateurs) :

• « l’administrateur ». Il a droit de vie et de mort sur toutes les données, tous les programmes et les paramètres du système. L’accès au statut d’administrateur est protégé par un mot de passe qu’il est vivement conseillé de conserver en lieu sûr car en cas d’oubli, il est extrêmement difficile d’accéder au système (et ne comptez pas sur moi pour vous expliquer comment faire…)

• « les utilisateurs ». Chacun possède son propre ‘espace’ où il gère ses données et ses programmes comme il l’entend.

• « les groupes d’utilisateurs ». Plusieurs utilisateurs ayant des objectifs communs (travaillant sur un même projet) peuvent avoir intérêt à partager des applications et des données.

• « les autres ». Les autres personnes connectées au système avec qui des échanges ponctuels peuvent être souhaitables.

Par ailleurs Linux connaît quatre types d’accès aux données et aux applications :

• pas d’accès du tout ( !) • accès en consultation • accès en écriture

• accès en exécution (pour les programmes).

La gestion des droits se résume pour un utilisateur à définir pour chaque fichier lui appartenant (donnée ou programme) les autorisations qu’il accorde ou non à chaque catégorie d’intervenant.

Rassurez-vous ! Il existe des options par défaut et des outils conviviaux de gestion de ces droits, mais le principe est simple et cela fonctionne très bien.

2.7.3.2 sécurité Internet Dans la liste des logiciels libres fonctionnant sous Linux, je n’ai pas vu de programmes antivirus. Est-ce un oubli ? :

Mauvaise nouvelle : Il n’y a pas de logiciels antivirus sous Linux.

Bonne nouvelle : Il n’y a pas besoin de logiciels antivirus car il n’y a pas de virus sous Linux.

On justifie souvent cette absence de virus par la raison suivante :

L’objectif des individus malfaisants qui élaborent les virus est de nuire au plus grand nombre ; or, la diffusion de Linux, à ce jour, (hormis quelques secteurs évoqués précédemment) reste minime par rapport au grand frère Windows d’où le désintérêt des « hackers ».

Je pense que la véritable raison est autre :



En dehors des « amateurs » qui trouvent très amusant d’afficher une tête de mort sur l’écran d’un PC distant en même temps qu’on reformate le disque dur, aujourd’hui, la motivation principale des pirates est de prendre le contrôle des micros à des fins illicites tels que envois de « spams », déclenchement de dénis de service, etc…

Pour cela il faut accéder au système ce qui est tout à fait impossible sous Linux (à moins d’être connecté à Internet avec le statut « administrateur » ce qui est une erreur gravissime).

Il reste bien sûr possible de nuire à un utilisateur en modifiant certains de ses fichiers et répertoires mais les conséquences, pour désagréables qu’elles soient, restent limitées.

Par conséquent, et pour pas mal de temps encore, la navigation sur Internet sous Linux avec des logiciels libres offre un niveau de sécurité exceptionnel.

2.7.3.3 sécurité d’utilisation Pourquoi aurais-je plus confiance dans des logiciels libres que dans des logiciels commerciaux de fournisseurs connus ? :

Essentiellement pour des raisons de confidentialité…

Vous avez l’assurance qu’un logiciel libre ne comporte pas de parties de code cachées qui vont collecter, à votre insu, des informations sur votre configuration, vos fichiers, vos habitudes de surf sur Internet pour les rediffuser à des tiers dans des buts inavoués.

L’obligation faite, dans le cadre des logiciels libres, de diffuser ou rendre disponible l’intégralité du code source, dissuade toute entreprise ou développeur mal intentionné d’attenter à votre vie privée à votre insu.

De plus, comme la modification des logiciels libres est autorisée, il serait tout à fait possible et légal de supprimer ou contourner cette partie de code.

Il n’est pas question d’examiner personnellement les codes sources des programmes ; mais en cas de doute, soyez assurés que d’autres personnes le feront et s’il s’avère que des codes malveillants sont inclus dans un logiciel applicatif, l’information sera diffusée très rapidement et le logiciel ne survivra pas très longtemps à cette découverte.

Les logiciels libres sont-ils exempts de bugs ? :

Non. La présence de bugs dans les développements informatiques est inévitable quelles que soient les précautions prises et la qualité des tests pratiqués mais le comportement des logiciels fonctionnant sous Linux se démarque fortement de celui observé sous Windows.

Avec Windows, vous avez sûrement été déjà confronté à l’écran bleu vous informant qu’une erreur s’est produite et même l’appui simultané des touches Ctrl + Alt + Sup ne suffit pas à débloquer le système. Il ne reste plus qu’à basculer rageusement l’interrupteur secteur du micro avec les risques de pertes d’informations qui en résultent.

Avec Linux, ce cas de figure est tout bonnement impossible car chaque logiciel fonctionne dans sa propre zone mémoire sans empiéter sur les programmes voisins et surtout pas sur la zone système.

Si un logiciel se trouve bloqué (à la suite d’un bug ou d’une erreur de manipulation), les autres programmes continueront de fonctionner normalement.

Il existe d’ailleurs, une commande de Linux (le « killer » symbolisé dans l’interface graphique par une tête de mort) qui permet de détruire n’importe quel processus en cours (bloqué ou pas).

Au pire, si c’est l’interface graphique qui est concerné par le blocage, il suffit de passer Linux en mode caractère par appui d’une touche du clavier et arrêter ensuite correctement le système d’exploitation sans perte de données.

2.7.3.4 sécurité de maintenance et d’évolution Puis-je bénéficier des évolutions et des améliorations des logiciels libres ? :

Bien sûr. La plupart des logiciels libres proposent de se connecter périodiquement sur leur site pour vérifier si une nouvelle version ou une mise à jour du logiciel est disponible.



Si vous consultez le site de téléchargement d’un logiciel libre, vous allez être surpris par le nombre de versions différentes proposées.

On distingue en général les versions « bêtas » (dont le développement n’est pas figé et quoi font encore l’objet de tests) et les versions « stables » (que l’on considère comme suffisamment débuguées pour être utilisées sans risque majeur de disfonctionnement).

Dans tous les cas, chaque version est accompagnée de la liste complète des erreurs corrigées, des nouvelles fonctionnalités ainsi que des contraintes éventuelles d’environnement.

La transparence est totale. A vous de choisir les nouvelles fonctionnalités qui vous intéressent et le niveau de « risque » que vous pouvez consentir.

En contrepartie, si vous découvrez un bug dans une application, transmettez le problème au développeur sur son site Internet. Vous aurez ainsi la satisfaction de participer également à la vie de la communauté des logiciels libres.

Existe- il une assistance à l’installation, à l’utilisation, au dépannage des logiciels libres ? :

C’est une caractéristique spécifique de la communauté des logiciels libres.

Quel que soit votre problème, vous n’êtes jamais seul.

Il existe un grand nombre de sites Internet (y compris, bien sûr, celui des développeurs du logiciel que vous voulez utiliser) qui proposent des tutoriaux et des forums d’aide et d’assistance.

Commencez par chercher si d’autres utilisateurs n’ont pas rencontré les mêmes difficultés que vous et comment celles-ci ont été résolues.

Si vous ne trouvez pas de réponse, n’hésitez pas à exposer votre problème (anonymement, si vous le souhaitez). Vous serez surpris du nombre de personnes qui vont se mobiliser pour essayer de vous aider bénévolement.

2.7.4 Les embûches liées à l’utilisation des logiciels libres (et comment les éviter)

2.7.4.1 aspects techniques J’ai entendu dire que Linux était très difficile à installer ? :

Le temps où Linux fonctionnait uniquement en ligne de commande (c’est à dire avec des commandes incompréhensibles par un non-initié tapées au clavier sans souris et sans écran graphique) fait définitivement partie du passé.

De plus, l’installation est considérablement simplifiée si vous utilisez une « distribution » Linux.

Qu’est ce qu’une « distribution » Linux ? :

Une « distribution » Linux est un ensemble de logiciels comprenant :

• un système Linux, • une interface graphique (ou plusieurs), • un automatisme d’installation et de paramétrage du système,

• des utilitaires de gestion du système, • un certain nombre de logiciels applicatifs.

Plusieurs sociétés proposent ce genre de « distributions » ; les plus importantes sont « Mandriva » (anciennement « Mandrake »), « Red Hat » et « Suse » mais il en existe beaucoup d’autres.

Les logiciels peuvent être téléchargés sur Internet ou sont disponibles sous forme d’ensemble de CD accompagnés d’une notice d’utilisation vendus pour une somme modique dans des boutiques informatiques.

Je conseille vivement d’utiliser une de ces distributions. L’installation de Linux devient un jeu d’enfant (ou presque…) ; les opérations un peu délicates telles que le partitionnement du disque dur se font en toute sécurité. Le paramétrage du système (langage, utilisateurs, reconnaissance des périphériques) se réalise de façon très conviviale.



Comment fait-on l’installation des logiciels applicatifs ? :

Auparavant, l’installation d’application comprenait un certain nombre d’étapes : • compilation du code source, • recherches des « dépendances » (sous-programmes),

• liaison des dépendances, • configuration, • installation des modules.

Un vrai cauchemar ! De quoi décourager la personne la plus motivée !

Ces étapes existent toujours mais les créateurs de « distributions » ont incorporé dans celles-ci des utilitaires d’installation et de désinstallation qui automatisent complètement les différentes opérations.

La très grande majorité des concepteurs de logiciels libres diffusent maintenant leurs programmes sous une forme compatible avec ces utilitaires d’installation/désinstallation (les « paquetages »).

La coexistence de Linux et Windows sur un même micro est-elle possible ? :

Tout à fait ! Si vous possédez un micro-ordinateur équipé de Windows et que vous disposez d’une dizaine de gigaoctets disponibles sur le disque dur vous pouvez créer une « partition » supplémentaire pour accueillir Linux et ses applications.

Bien entendu, les deux systèmes ne fonctionnent pas simultanément ; c’est au démarrage du micro-ordinateur que l’utilisateur choisit le système d’exploitation qu’il veut utiliser.

A noter que Linux est parfaitement capable de lire et d’écrire des informations sur la partition réservée normalement à Windows.

L’inverse n’est pas vrai. Windows ignore complètement l’existence de Linux sur le même disque dur.

Les périphériques (imprimantes, scanners, modems, etc...) que j’utilise avec Windows fonctionneront-ils également avec Linux ? :

Les constructeurs de périphériques fournissent avec leur matériel des petits programmes appelés pilotes (ou drivers) et qui servent au dialogue entre le périphérique et le système d’exploitation.

La plupart des constructeurs élaborent à la fois des pilotes pour Windows et pour Linux. Il arrive néanmoins que pour des matériels anciens (ou trop nouveaux !) ou à diffusion très limitée, les pilotes Linux ne soient pas disponibles et dans ce cas le périphérique ne pourra pas fonctionner normalement.

Il est indispensable, dans le cas d’une migration vers Linux, de vérifier que ces pilotes existent et de les télécharger depuis les sites Internet des constructeurs.

2.7.4.2 aspects migratoires Quelle stratégie utiliser pour migrer vers les logiciels libres ? :

Il n’y a pas de réponse générale à cette question.

La stratégie est à étudier au cas par cas en fonction de vos impératifs d’exploitation et des caractéristiques du parc installé.

La migration d’un parc de quelques machines peut généralement être réalisée en fin de semaine (pendant l’arrêt de l’activité). Le changement est quasiment transparent pour le fonctionnement de l’entreprise.

A l’opposé, dans une entreprise fonctionnant 7 jours sur 7 et 24 heures sur 24, on préférera probablement migrer poste par poste même si l’opération totale couvre plusieurs semaines.

Il faut avoir à l’esprit que Linux gère parfaitement des réseaux hétérogènes comportant des machines équipées de systèmes d’exploitation différents.

Néanmoins à terme, l’homogénéité du parc est souhaitable pour faciliter la maintenance et les évolutions.



Dans tous les cas, définissez précisément et clairement la stratégie que vous allez utiliser et vérifiez, avant le début de la migration, que vous disposez bien de tous les composants logiciels nécessaires.

2.7.4.3 aspects psychologiques De quels problèmes parlez-vous ? Vous m’aviez dit que les programmes tournant sous Linux ressemblent énormément à leurs homologues fonctionnant sous Windows ? :

C’est vrai ! Non seulement les fonctionnalités sont les mêmes mais l’ergonomie est très voisine. L’utilisation de la souris et des raccourcis claviers sont identiques.

Le fonctionnement de Linux en mode caractère est révolu (sauf, éventuellement pour l’administrateur du système).

Néanmoins, ne sous estimez pas l’impact psychologique et la résistance au changement.

Personne ne vous dira en face qu’il est frustré parce qu’il n’a plus la photo de son dernier-né comme fond d’écran ou qu’il ne peut plus faire sa partie quotidienne de « Démineur » ou de « Solitaire » après le déjeuner.

En lieu et place vous risquez de vous heurter à une critique vague mais systématique (« Ca ne fonctionne pas… », « Je ne peux plus travailler aussi rapidement… », etc…).

Pour éviter ce genre de désagréments, prenez les devants.

Expliquez aux futurs utilisateurs du nouveau système les avantages pour votre entreprise et pour eux-mêmes.

Si possible, trouvez un ou deux « volontaires » curieux de nature et ouverts aux nouveautés et aux évolutions à qui vous prodiguerez une formation détaillée.

Ces personnes apprécieront de jouer le rôle de « pionniers » et seront ultérieurement en mesure d’aider et conseiller leurs collègues pour les problèmes courants et répétitifs.

2.7.5 Bilan Dans quels cas, le passage aux logiciels libres est-il souhaitable ? :

Une configuration avec deux postes de travail autonomes utilisant des logiciels bureautiques standards ne requiert sans doute pas une décision de basculement rapide.

C’est néanmoins une opportunité de tester les logiciels libres pratiquement sans risques de perturbations.

N’oublions pas qu’il est parfaitement possible de faire coexister deux systèmes d’exploitation (Linux et Windows) sur le même micro-ordinateur ; A chaque démarrage, l’utilisateur sélectionne le système qu’il souhaite activer.

La population directement concernée par une migration semble plutôt celle des entreprises disposant de cinq à plusieurs dizaines de postes de travail reliés entre eux par un réseau local.

Dans ce cas, les gains en terme de sécurité et d’économies de fonctionnement sont les plus rapides et les plus substantiels.

La migration vers les logiciels libres me semble intéressante mais j’aimerais en faire l’expérience sans toucher au système existant. Est ce possible ? :

Oui, bien sur !

Une première solution consiste à utiliser certains logiciels libres disponibles sous Windows (bureautique, navigateurs, …) pour juger de leurs avantages et ensuite les désinstaller si nécessaire (A la différence de certains logiciels commerciaux, tous les logiciels libres que je connais proposent une option de désinstallation et ne laissent aucune trace sur le micro-ordinateur).

Bien évidemment dans ce cas, vous ne bénéficierez pas des avantages de sécurité que vous apporte Linux mais vous pourrez au moins juger de la richesse et de la qualité des fonctionnalités offertes.



Une autre solution consiste à utiliser une « distribution amovible » (Knoppix par exemple). Il s’agit d’un CD-ROM sur lequel se trouve un système Linux, une interface graphique et une quinzaine de logiciels d’applications générales.

Il suffit de placer le CD-ROM dans le lecteur et de démarrer le micro-ordinateur et celui ci va charger automatiquement le système Linux en mémoire sans rien installer sur le disque dur.

Les seuls inconvénients sont que les temps de chargement des logiciels sont assez longs (puisque chargés depuis le CD-ROM et non du disque dur) et que les paramètres ne sont pas conservés (à moins de disposer d’une clé USB) à l’arrêt du système.

A l’extinction du micro, il ne reste aucune trace de Linux ou des programmes sur le disque dur.

Comment dois-je procéder, en cas de décision de migration, pour avoir le maximum de chances de réussite ? :

Cette question est essentielle, c’est pourquoi je l’ai gardée pour la fin…

Il y a un certain nombre d’étapes clés qui doivent être systématiquement réalisées même si certaines peuvent être faites très rapidement :

• Description précise et quantitative de l’existant (parc micro, réseaux, logiciels utilisés… ) et prévisions d’évolution à court terme (un an).

• Recherche des logiciels nécessaires. • Elaboration d’une stratégie de déploiement. • Chiffrement des dépenses et des économies prévues et validation des choix.

• Mise en œuvre. • Validation des résultats.

Cette démarche peut être entreprise :

• Soit par vous-même si vous disposez d’un peu de temps et si vous avez quelques connaissances en informatique.

• Soit en déléguant ce travail à la personne de votre entreprise qui s’occupe habituellement du système informatique (sous réserve qu’elle soit curieuse et réceptive aux idées d’évolutions et qu’elle dispose de quelques disponibilités).

• Soit en faisant appel à un conseil extérieur qui vous apportera sa compétence et son expérience en toute objectivité et sécurité (cette solution s’impose pratiquement dès que la taille et les conséquences stratégiques sont importantes).



3 LES SERVICES

3.1 CONCILIER SECURITE ET SIMPLICITE D'ADMINISTRATION Auteur : Thierry Rouquet (ARKOON Network Security) [email protected]

3.2 LES ASPECTS DE NOMS DE DOMAINES SUR INTERNET Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.3 ANALYSE DE RISQUES Auteur : Eleonore Sichel -Dulong (EXEDIS) [email protected]

3.4 POLITIQUE DE GESTION DE VULNERABILITES ET DES CORRECTIFS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.5 PLANS DE CONTINUITE D'ACTIVITE Auteur : Eleonore Sichel -Dulong (EXEDIS) [email protected]

3.6 LE DEPLOIEMENT DES PATCHS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.7 LA DETECTION D’INTRUSIONS Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

3.8 EXTERNALISER SA SECURITE ?

3.8.1 Externaliser la veille stratégique

3.8.2 Externaliser la détection d’intrusions

3.8.3 Externaliser la gestion des outils de sécurité

3.8.4 Externaliser la sauvegarde des données

3.8.5 Externaliser le site Web institutionnel

3.8.6 Pourquoi et comment confier le contrôle de votre sécurité à un partenaire de confiance ? Auteur : Gérald Souyri (Thales Security Systems) gerald.souyri@thales -security.com

3.9 INFRASTRUCTURE DE SOLUTIONS DE SECURITE ORIENTEES SERVICE Auteur : Michel Habert (Netcelo) [email protected]



4 QUELQUES APPLICATIONS DEVANT ETRE SECURISEES

4.1 L’ENTREPRISE SANS FIL Auteur : Michèle Germain (ComXper) [email protected]

L’entreprise sans fil… Et si on enlevait les fils ?

• De bonnes raisons…

Ils servent à véhiculer les signaux électriques qui transportent voix et données jusqu’aux postes téléphoniques et informatiques… mais leur installation coûte cher et au fond, sont -ils vraiment nécessaires ?

De plus en plus, on parle de « sans-fil », de « Wi-Fi », et la petite entreprise, qui démarre et qui peut être amenée à plus ou moins court terme à quitter ses locaux pour de plus vastes, peut légitimement se poser la question de l’opportunité d’investir dans un câblage.

Indépendamment de l’aspect coût, l’installation dans un immeuble classé peut être soumise à des règles contraignantes sur le câblage et cela donne un intérêt supplémentaire au sans-fil.

• Lesquels ?

Le sans-fil peut concerner le téléphone (l’autocommutateur – ou PBX) ainsi que le réseau informatique (le routeur local).

Le raccordement au réseau public est impérativement filaire, en général via une liaison ADSL qui permet de véhiculer à la fois voix et données et qui après filtrage se ramifie en :

• une ligne téléphonique vers un poste téléphonique ou vers l’autocommutateur

• une ligne informatique vers le routeur ADSL.

Une ligne ADSL est suffisante pour couvrir les besoins informatiques d’une PME, mais pas ses besoins téléphoniques, puisqu ‘elle ne peut supporter qu’une communication téléphonique à la fois. Aussi, on pourra la réserver au fax et prendre quelques lignes téléphoniques simples qui se raccorderont à l’autocommutateur.

C’est en aval de l’autocommutateur et en aval du routeur que peut commencer le monde du sans-fil.

Filtre ADSL

Réseauinformatique

local

Réseautéléphonique

local

Réseaux sans-fil

Ligne ADSL

RouteurADSL FAX

PBX

Réseau Public

Lignes téléphoniques (RNIS ou analogiques)

• Les risques

Les inconvénients connus de la radio sont d’une part son aptitude à franchir les limites géographiques de l’entreprise et d’autre part son comportement capricieux.



En plus des risques inhérents aux réseaux filaires, l’usager sans fil va être confronté à des problèmes de confidentialité, de non-intrusion et de permanence de service liés apportés par la radio.

4.1.1 L’informatique sans fil

Point n’est besoin de présenter le Wi-Fi, grâce auquel on peut maintenant trouver des accès sans fil à l’Internet quasiment n’importe où, y compris au café du coin. Tous les ordinateurs récents sont équipés de base d’un circuit Wi-Fi.

Le Wi-Fi a fait son entrée chez les particuliers, alors, pourquoi pas aussi dans la PME ?

• Définition

Wi-Fi est le nom usuel de la norme IEEE 802.11 qui se décline en différentes variantes. La plus récente et maintenant la plus utilisée est 802.11g qui fonctionne dans la bande de fréquences 2,4 GHz. Des compléments à la norme 802.11 apportent des services additionnels au service de base, tel le 802.11i pour la sécurité.

• Disponibilité du service

Un Access Point 802.11g couvre typiquement 15 à 70 mètres selon les conditions de propagation. En fait les informations de couverture données par les constructeurs et par la presse doivent être prises avec beaucoup de précautions. Un facteur essentiel est l’environnement, la portée étant directement impactée par la topologie des lieux (espace dégagé ou non) et sa nature (présence de murs de béton, armatures et mobilier métallique). D’autre part, le débit décroît très rapidement avec la distance ; on peut ainsi annoncer des portées relativement élevées mais trouver au bout un débit ridiculement réduit.

• Qualité de transmission

Le 802.11 est très sensible aux perturbations radio. De plus il opère dans une bande de fréquence dite ISM (Industry Scientific and Medical) qui, comme son nom l’indique a été prévue pour supporter un peu de tout, mais pas spécialement des réseaux de transmission de données. Il faut donc s’attendre à des perturbations venant d’objets aussi divers que des télécommandes et des fours à micro-ondes.

• Sécurité

On a dit beaucoup de choses sur la sécurité, ou plutôt sur l’insécurité, du Wi-Fi. Sa mauvaise réputation est en fait venue d’utilisateurs inconséquents qui n’ont pas estimé le problème à sa juste valeur, d’autant moins aidés par des mécanismes standards (le WEP) largement insuffisants.

Depuis cette époque des pionniers malheureux, des progrès ont été faits, tout d’abord par la sensibilisation des utilisateurs la problématique de la sécurité, et ensuite par l’avènement du standard 802.11i qui a enfin doté le Wi-Fi de mécanismes d’authentification et de chiffrement sérieux.

Il sera fait état plus loin dans cet ouvrage aux mille et une façons de sécuriser son réseau sans fil et le lecteur pourra également se reporter à l’ouvrage (Réf. 1).

4.1.2 La téléphonie sans fil

Outre l’absence de câblage, l’intérêt est l’appareil sans -fil par lui-même, laissant l’usager libre de ses mouvements.

Une solution triviale consiste à faire abstraction du PBX et d’utiliser le GSM. Outre le coût d’exploitation qui peut rapidement devenir prohibitif, cette solution n’offre que des services téléphoniques basiques et est loin du niveau des services habituels en téléphonie d’entreprise. Ceci est donc cité pour mémoire, mais peut néanmoins suffire pour couvrir des besoins basiques et un faible trafic.

Une meilleure solution consiste à utiliser un service de téléphonie sans fil sur un autocommutateur et pour cela, deux technologies vont s’affronter :

• le DECT



• le WLAN, basé sur des techniques Wi-Fi ou autres.

Chacune a ses particularités et répond de manière différente aux impératifs de la téléphonie qui sont :

• la confidentialité des communications

• la qualité des communications • la permanence de service • la gestion de la mobilité.

4.1.2.1 Le DECT • Définition

Le DECT est une norme européenne de téléphonie sans fil, largement utilisée pour des services de téléphonie sans fil en entreprise et en résidentiel. C’est la norme utilisée maintenant pour la plupart des téléphones sans fil grand public. Il s’agit d’une technologie mature qui a maintenant fait ses preuves.

Le DECT est conçu pour la phonie et ses capacités en matière de transmission de données ne vont guère au-delà du SMS.

• Disponibilité du service

Une borne DECT peut couvrir 50 à 300 mètres selon les conditions de propagation et, selon les offres des constructeurs, supporte typiquement 4 à 12 voies radio, donc autant de communications simultanées. Une borne unique peut être suffisante pour couvrir environ une dizaine de bureaux, mais pour des raisons de permanence de service, il est conseillé d’en mettre au moins deux, dont les couvertures pourront ou non se superposer.

• Confidentialité

Il n’est pas impossible, surtout dans un contexte d’immeubles de bureaux, que des réseaux DECT se jouxtent, voire même se chevauchent. L’utilisateur peut craindre pour la confidentialité de ses communications.

Le standard DECT intègre de manière native un mécanisme DSAA d’authentification mutuelle et de chiffrement qui offre un bon niveau de protection. L’authentification du terminal est demandée lors de chaque accès au réseau (inscription, communication) et la clé utilisée pour chiffrer la communication est calculée au cours de cette authentification.

Un poste DECT ne peut trafiquer sur un réseau que s’il a été préalablement enregistré sur ce réseau. Ceci est une opération d’exploitation qui se déroule sur une borne spécialement déverrouillée le temps de l’enregistrement et au cours de laquelle le terminal et la borne échangent les éléments secrets issus de l’identifiant du réseau et du numéro de série du terminal qui en permettront l’authentification.

Si deux installations d’entreprises différentes sont proches, le mécanisme d’authentification garantit que les postes s’inscriront uniquement sur le réseau qui leur est autorisé. Il n’est donc pas possible à une entreprise d’héberger à son insu des postes d’une installation extérieure à la sienne.

• Qualité de la phonie

Au point de vue immunité radio, le DECT utilise des fréquences qui lui sont propres (bande 1,9 GHz) et n’est donc pas brouillé par d’autres équipements radio électriques qui utiliseraient la même bande de fréquences comme le Wi-Fi.

Bien que le DECT possède une très bonne immunité aux interférences, des perturbations sont toujours possibles. Aussi, le DECT intègre des processus dynamiques d’allocation de canal libre et non brouillé, ce choix étant modifiable en cours de communication.

La bande passante est divisée en 120 canaux radio qui ouvrent une capacité de 120 communications simultanées (tous réseaux et toutes bornes en un lieu donné, sachant que de toute façon le trafic ouvert à une entreprise en un lieu donné est limité à la capacité radio des bornes qui lui appartiennent et qui couvrent ce lieu). Une communication occupe un plein canal à elle seule et pendant toute sa durée (on parle de « mode circuit »). Une fois la limite de 120 canaux atteinte, le



réseau n’accepte plus de communication supplémentaire, ce qui garantit le maintien de la qualité des communications déjà établies.

• Permanence de service

La capacité de 120 canaux est par contre partagée dynamiquement entre les différentes installations en présence. Il n’est donc pas exclu, bien que rare vu la capacité disponible, qu’une entreprise sature temporairement le réseau au détriment des autres. Toutefois, ceci ne pouvant se produire que dans les zones où les réseaux se recouvrent, le déplacement d’une borne suffit généralement à éliminer cet inconvénient.

• Mobilité

Un usager sans fil étant susceptible de se déplacer, le DECT supporte de manière native les fonctions de hand-over et de roaming.

Le roaming permet à l’usager de disposer du même niveau de service en tout point de son réseau (à ne pas confondre avec la fonction de roaming international du GSM).

Le hand-over permet de maintenir une communication en cours, soit en changeant de borne radio au cours des déplacements de l’usager, soit en changeant de canal radio si celui qui est couramment utilisé est soumis à des perturbations radioélectriques.

• Services

Le standard DECT définit les services téléphoniques de base. Le terme DECT/GAP se réfère à un sous-ensemble du protocole qui définit le minimum indispensable pour garantir l’interopérabilité d’équipements de constructeurs différents et intègre des procédures d’échappement vers des services supplémentaires (keypad/display) propriétaires.

• Recommandations d’installation

Les bornes DECT se raccordent au PABX par des fils. Là il n’est pas possible de faire autrement, mais pour une entreprise de faible superficie, le nombre de bornes étant largement inférieur au nombre de postes d’usagers, le gain sur le câblage reste conséquent.

Il convient de ne pas mettre les bornes n’importe où et de choisir des endroits qui donneront la meilleure couverture radio. Il existe à cet effet des outils d’aide à l’installation qui permettent de disposer les bornes de manière optimale.

Même s’il n’y a pas de risque au point de vue confidentialité, il est préférable de positionner les bornes afin de minimiser les émissions radioélectriques hors de l’entreprise : pas besoin de partager la capacité de trafic avec les voisins, et d’autre part il ne faut pas perdre de vue qu’il est interdit d’émettre dans le domaine public, donc dans la rue (par contre, il est autorisé de couvrir les parties extérieures du domaine privé, par exemple les parkings).

Enfin, par sécurité, il est recommandé de garder une ligne filaire sur l’autocommutateur sur laquelle il sera possible de brancher un poste téléphonique filaire en cas d’indisponibilité du réseau sans fil. Cette prise pourra raccorder le fax en temps normal.

4.1.2.2 La téléphonie sans fil de type WLAN

4.1.3 Recommandations

4.2 TOIP ET SECURITE Auteur : Frédéric Hubert (Thales) : [email protected] et Alexis Ferrero (Orbitiq) [email protected]

4.3 LA SIGNATURE ELECTRONIQUE Auteur : Gérard Péliks (EADS) [email protected]

4.3.1 Les deux piliers de cette technologie

Pour comprendre la signature électronique il est nécessaire de connaître quelques rudiments sur deux technologies : le hachage et le chiffrement asymétrique.



w Le hachage transforme une chaîne de caractère de longueur quelconque en un nombre de longueur fixe appelé le condensat. Par exemple une fonction de hachage transformera la chaîne de caractères « la sécurité à l’usage des PME et des TPE » en le condensat « 23425463 ». Cette même fonction de hachage transformerait l’ensemble de ce livre en le condensat « 74538242 ». Bien entendu, à partir du condensat, il n’est pas possible de retrouver la chaîne de caractère correspondante, mais là n’est pas le but. On peut supposer que si le condensat est de longueur suffisamment élevée, chaque chaîne de caractères traitée par la fonction de hachage donnera un condensat différent. Ainsi ce condensat caractérise la chaîne de caractères qui l’a créé. Si l’on change ne serait-ce qu’un espace ou une virgule dans la chaîne de caractères, le condensat résultant du traitement par la fonction de hachage sera complètement différent.

Ici la longueur du condensat est de 8 chiffres

w Le chiffrement asymétrique repose sur un couple de clés, une clé privée détenue par un utilisateur et une clé publique correspondant à la clé privée, qui peut être distribuée à tout le monde.

Une bi-clé : la clé privée que l’utilisateur garde

et la clé publique correspondante que l’utilisateur distribue

L’utilisateur garde prudemment sa clé privée, qui doit rester connue de lui seul, si possible sur un média tel qu’une carte à puce. La clé publique correspondante, qui comme son nom le laisse supposer n’est pas un secret, peut être distribuée largement à tous ceux qui en ont besoin. Il n’est pas possible, à partir d’une clé publique de reconstituer la clé privée correspondante. Quand quelqu’un chiffre avec une clé publique, seul le détenteur de la clé privée correspondante pourra déchiffrer le message. Quand l’utilisateur chiffre un message avec sa clé privée, tous ceux qui possèdent la clé publique correspondante pourront déchiffrer ce message, et seront sûrs que le message a été chiffré par l’utilisateur puisqu’il est le seul à posséder la clé privée à laquelle la clé publique correspond. C’est ce dernier principe qui est utilisé dans la signature électronique.



Ici le message en clair est chiffré avec la clé privée de l’utilisateur

Le message chiffré est déchiffré avec la clé publique de l’utilisateur correspondant à sa clé privée

Le problème est de prouver que la clé publique d’un utilisateur est bien celle de cet utilisateur et correspond donc bien à la clé privée qu’il détient. Ceci est rendu possible par un certificat. La clé publique est envoyée dans un certificat prouvant, en particulier l’identité de son propriétaire (celui qui détient la clé privée correspondant à la clé publique) et ses dates de validité. Ce certificat est signé par une autorité de certification à qui tout le monde fait confiance.

La clé publique est distribuée dans un certificat qui atteste ses dates de validité

et son appartenance à celui qui détient la clé privée correspondante

4.3.2 La signature électronique en théorie Les deux notions, hachage et chiffrement asymétrique étant comprises, la signature électronique d’un document est d’une agréable simplicité.



Le condensat chiffré est ajouté au message et constitue sa signature

On passe le message à signer par l’algorithme de hachage qui donne un consensat qui caractérise ce message. Si ne serait-ce qu’un accent du message est changé ensuite, le condensat obtenu par le même algorithme de hachage sera différent. On chiffre ce condensat par la clé privée du signataire pour obtenir un condensat chiffré. Seul le signataire peut effectuer cette opération puisqu’il est seul à posséder cette clé privée qui caractérise donc le signataire. On envoie le message avec son condensat chiffré. Ni le message, ni le condensat ne sont ici confidentiel.

Si le condensat déchiffré correspond au condensat recalculé, la signature est établie

Le certificat du signataire envoyé par lui ou trouvé dans un annuaire électronique de certificats contient la clé publique du signataire (correspondant donc à sa clé privée) et contient aussi l’algorithme de hachage utilisé pour calculer le condensat ainsi que l’identité du signataire. On passe le message par l’algorithme de hachage pour obtenir un nouveau condensat du message reçu. Grâce à la clé publique, on déchiffre le condensat chiffré accompagnant le message. Si le condensat déchiffré obtenu est le même que le condensat recalculé, le message est réputé avoir été signé .

Qu’a t’on prouvé en signant un document ?

w Que le document n’a pas été modifié car cela se serait vu sur le condensat recalculé.

w Que le signataire est bien celui qu’il prétend être car lui seul a pu chiffrer le condensat avec la clé privée que lui seul détient, car le condensat chiffré joint au message a été déchiffré par la clé publique du signataire trouvée dans un certificat lui-même signé par une autorité de confiance.

w Il est aussi possible d’inclure une fonction d’horodatage qui donnera la date de la signature.

4.3.3 La signature électronique en pratique Même si l’aspect théorique de la signature électronique a pu paraître un peu complexe, son utilisation pratique est très simple, la seule tâche pour l’utilisateur est de demander un certificat à une autorité réclamant l’usage de cette signature, telle que le greffe du tribunal de commerce de Paris ou l’administration fiscale. En même temps que le certificat, votre clé privée vous sera donnée et sera placée soit sur un support sécurisé comme une carte à puce ou une clé USB, soit sur votre disque, mais alors protégé par un mot de passe. Où mettre le certificat ? Le problème ne se pose pas, on vous fournit un utilitaire qui, exécuté s’occupe de placer le certificat et la clé privée là où il faut pour que par exemple votre navigateur ou votre logiciel de messagerie puissent signer votre document par un simple clic de votre souris.



4.3.4 Mais est-ce bien légal et reconnu ?

Il est bien évident qu’une signature électronique accompagnant un document n’aurait pas grande valeur si elle n’avait de reconnaissance légale par le pays d’où elle est émise et par le pays où elle est lue. La directive européenne du 13 décembre 1999 sur le cadre communautaire pour les signatures électroniques reconnaît à la signature électronique la même valeur légale que la signature papier. Un document dématérialisé, signé électroniquement est ni plus, ni moins légal que le même document sous format papier et paraphé au stylo. Cette directive européenne a été transposée en France dans la loi 2000-230 du 13 mars 2000 et dans le décret d’application 2001-272 du 30 mars 2001. Les autres pays de l’Union européenne ont pour la plupart aussi adopté cette directive européenne dans leurs législations.

Reste une petite précision qui a son importance, nous avons vu que l’authenticité du signataire est attestée par un certificat, qui rappelons, contient la clé publique correspondant à la clé privée que seul le signataire détient. Qui et dans quelles conditions le certificat est délivré déterminent la validité de la signature. Pour qu’une signature électronique soit reconnue comme légale, il faut que le certificat soit qualifié. Le certificat est qualifié si par exemple on ne vous le décerne qu’en main propre après avoir constaté de visu que vous êtes bien celui que vous prétendez être et après fourniture par exemple d’un extrait du KBIS pour authentifier votre société. Les responsabilités des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés sont précisées par l’article 33 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

4.3.5 L’avenir de la signature électronique

4.4 LA SECURITE DES OUTILS NOMADES

4.4.1 L’ordinateur portable

4.4.2 Le PDA Auteur : Olivier Caleff (Apogée Communication Groupe Devoteam) [email protected]

4.4.3 Les téléphones mobiles Auteur : Alexis Ferrero (Orbitiq) [email protected]

4.5 LE VOTE ELECTRONIQUE Auteur : Gérard Péliks (EADS) [email protected]



5 L’ASPECT HUMAIN DE LA SECURITE

5.1 COMMENT INFLUER SUR LES COMPORTEMENTS A RISQUES ? Auteur : Pierre-Luc Refalo (Comprendre et Réussir) [email protected]

5.2 QUELLE POLITIQUE DE SECURITE POUR UNE PME ? Auteur : Pierre Gojat (France Télécom SCE/DGC) [email protected]



6 L’ASPECT ECONOMIQUE DE LA SECURITE

6.1 LA GESTION DE CRISE POUR UNE PME PMI Auteur : Hervé Schmidt [email protected]

6.2 ASSOCIEZ VOTRE BUDGET SECURITE A VOS ENJEUX Auteur : Dominique Meurisse (Netasq) [email protected]



7 L’ASPECT JURIDIQUE DE LA SECURITE

7.1 LES NOUVELLES REGLES JURIDIQUES DE LA CYBERCRIMINALITE: VICTIME DONC RESPONSABLE Auteur : Olivier Iteanu (Cabinet d’avocats Iteanu) [email protected]

7.2 A QUI S’ADRESSER APRES UNE ATTAQUE ?



8 DIX MESURES CONCRETES POUR SECURISER VOTRE PME CONNECTEE Auteur : Mauro Israel (Le Netwizz) [email protected]

Contrairement aux grandes et moyennes entreprises, la PME, l'entrepreneur individuel, le commerçant et la profession libérale n'ont ni les moyens humains, ni le temps, ni les budgets pour procéder à une sécurisation de leur informatique. Les dirigeants se concentrent d'ailleurs sur leur métier, et considèrent l'informatique comme un outil pratique pour améliorer leur efficacité... sauf lorsque les ordinateurs ou la messagerie sont plantés par une attaque virale, ou la connexion à Internet ne fonctionne plus. Alors "l'ex-outil pratique" déclenche des réactions d'énervement et des appels effrénés chez tous les fournisseurs, -qui n'y peuvent rien car ils ont une vision partielle du système- ce qui augmente en général l'énervement jusqu'à parfois l'hystérie collective !

Ma longue expérience des PME et des TPE, commerçants, professions libérales, m'a permis de dresser une "check-list" pratico-pratique des actions à mener pour renforcer la sécurité de votre informatique sans dépenser des millions et sans perdre de temps. Cette liste est issue des nombreuses interventions "amicales" lors de dîners ou d'invitations, où -comme les médecins- je suis souvent amené à donner une consultation gratuite: "Au fait, comme tu t'y connais en informatique, peux-tu m'expliquer pourquoi j'ai vingt fenêtres qui s'ouvrent avec des pubs dans mon navigateur ?" ou bien "Depuis que j'ai mon abonnement WIFI, je trouve que ma liaison à Internet est ultra lente surtout vers 16h30-17h"

Le premier est victime de "spywares", des "bestioles" qui espionnent le contenu du disque dur et transmettent ces infos à des régies publicitaires, voire à des pirates, ce qui déclenche l'ouverture inopinée de fenêtres publicitaires non désirées sur votre écran... Ces spywares sont rarement interceptés par un anti-virus, même à jour, et nécessitent donc un traitement adéquat, appelé anti-spyware...

Le deuxième a laissé son accès Wi-Fi configuré par défaut, et des étudiants à la sortie du collège à proximité en ont profité pour squatter depuis la rue avec leur portable la connexion ADSL de l’entreprise... En effet, les ondes radio se répandent aussi à l'extérieur des murs de l'entreprise ! La solution est la sécurisation de l'accès Wi-Fi.

Ci-après vous avez donc, dix « maladies » classiques, et la manière de les résoudre. La plupart des "remèdes" ne coûtent rien et sont aisés à mettre en oeuvre avec un minimum de connaissances, sinon demandez à un "ami informaticien" !

Les problèmes sont scindés en 4 catégories: les éléments de sécurité que vous n'avez pas encore, ceux qu'il faut renforcer, les méthodes à améliorer et enfin la protection des données.

8.1 CE QUE VOUS N'AVEZ PEUT-ETRE PAS ENCORE: 1 - Anti-spyware

Vous allez surfer sur Internet et trouvez un magnifique « screen saver » Aquarium et vous le téléchargez : http://www.clubaquatica.com/ …

En fait, vous venez de télécharger un spyware (ou publiware dans ce cas), qui va s’installer sur votre ordinateur et va déclencher des fenêtres publicitaires. Au bout de quelques mois de téléchargements de ce type vous serez « infesté » de logiciels espions et votre ordinateur va devenir de plus en plus lent, voire ne va plus réussir à fonctionner correctement. On va devoir reformater toute la machine et tout réinstaller ! Le vrai remède est de lancer un anti-spyware et de décontaminer tout le disque dur ; Mon record est de 8440 fichiers contaminés trouvés sur un ordinateur ! Le problème des spywares est que les anti-virus classiques ne les détectent pas et que dès qu’ils sont installés, même en les détruisant, ils vont se reconnecter au site contaminant pour se recharger et ainsi de suite… Il faut donc à la fois décontaminer le disque mais aussi empêcher des nouvelles contaminations avec un module de protection en temps réel. Prévenez dans la foulée les utilisateurs de ne pas télécharger n’importe quoi depuis Internet, en particulier les « gratuits » logiciels, les musiques, les films, les économiseurs d’écrans. C’est comme cela que les spywares se répandent le plus efficacement. Ci-



après les liens pour télécharger les anti-spywares les plus connus. A titre d’exemple « ad aware » a été téléchargé par plus de 125 millions d’internautes dans le monde (125.843.085 au 4 mai 2005) !

A noter l’initiative de Microsoft qui vient de racheter une solution renommée d’anti-spyware et qui la met gracieusement à disposition des heureux possesseurs de Windows (2000 ou XP)

Voir chapitre « bibliographie et références »

Une fois le logiciel téléchargé lancez-le et regardez le résultat; Combien de spywares aviez-vous sur votre disque ? ça fait frémir… Enfin, maintenant vous êtes protégés.

2 - Firewall personnel

De la même manière qu’un anti-virus ne protège pas des spywares, il ne protège pas non plus des attaques des pirates… A travers votre connexion Internet, des pirates cherchent à avoir accès à votre ordinateur et à le transformer en « zombie », c'est-à-dire à prendre son contrôle à distance. Pourquoi ces gens-là iraient s’attaquer à ma PME de fabrication de chaussettes plutôt qu’au Pentagone ? En fait, les pirates « scannent » systématiquement toutes les machines connectées à Internet et ne savent pas s’il s’agit d’un site ultra confidentiel ou d’un site sans intérêt pour eux. Il se trouve que là c’est vous la cible et vous n’y pouvez rien. Depuis que vous avez votre connexion ADSL, vos ordinateurs sont connectés en permanence à Internet, ils sont donc exposés d’avantage que lorsque vous vous connectiez de temps en temps avec un modem.

La solution est de mettre un logiciel « pare-feu » (ou firewall en anglais) qui va filtrer les accès à votre ordinateur depuis internet. Une fois bien configuré ce pare-feu va protéger votre machine en rejetant les tentatives illicites et en masquant votre système vis-à-vis de l’extérieur. Là encore, l’initiative sécurité de Microsoft qui a ajouté un firewall personnel dans sa mise à jour de Windows XP : service pack 2. L’autre intérêt est lorsque vous vous connecterez avec votre ordinateur portable depuis un hôtel ou un site externe, vous ne serez pas non plus une victime des attaques des pirates, et ne pourrez pas contaminer votre entreprise en rebranchant votre machine au réseau à votre retour.


8.2 CE QU'IL FAUT RENFORCER:

3 - Firewall sur la connexion ADSL

De la même manière que chaque ordinateur (notamment les portables) doit être protégé avec un firewall, le boîtier de connexion à l’ADSL de votre site dispose certainement d’un firewall ; Encore faut-il l’activer ! Pour la Freebox par exemple, allez sur la console sur le site Free et activez la fonction « routeur » et ensuite activez le NAT (translation d’adresses). C’est le minimum de protection, qui ne fera plus apparaître vos machines « en direct » sur le net. Sur les routeurs ADSL du marché il y a toujours une fonction « firewall », et on accède à la console d’administration à l’aide d’un simple navigateur. Regardez la doc et activez le firewall !


4 - Anti-virus / anti-spam et webmail pour la messagerie

5 - Accès WIFI

Depuis que les points d’accès sans fil ont fait leur apparition, un autre « sport » fait des ravages : le « war driving » ; Il s’agit de circuler en voiture muni d’un ordinateur WIFI et de repérer tous les points d’accès qui n’ont pas de protection, puis d’en diffuser la carte sur Internet… A Paris en 2004, plus de 30% des points d’accès n’ont aucune protection et peuvent être utilisés depuis la rue pour accéder à Internet ou bien aux ordinateurs que contient l’entreprise.

Que faire ? Changez avant tout la configuration par défaut : dans de nombreux cas, le login est « admin » et le mot de passe « password » !

w Changez immédiatement le mot de passe d’administration.



w Ensuite changez le nom (SSID) du boîtier en mettant un nom différent de « default » ou de par exemple « wanadoo_123456 ». Mettez le nom de votre entreprise et cochez « hidden » c'est-à-dire « caché ». Ceci permettra d’éviter que quelqu’un s’y connecte par hasard.

w Activez le cryptage WEP (ou si disponible WPA). Lors de la connexion au point d’accès WIFI, l’utilisateur devra fournir un mot de passe que seul vous connaîtrez. Cela compliquera singulièrement la tache des pirates.


8.3 RENFORCEMENT DES METHODES: 6 - Hébergement et nom de domaine


7 - Sauvegardes et contrôle à distance


8 - Administration: mots de passe sous enveloppe scellée

9 - Mise à jour de sécurité : les patches


8.4 PROTECTION DES DONNEES: 10 - protection des ordinateurs portables: Accès à la machine, mémoires USB, cryptage des données du disque et SSO.

Muni de ces conseils pratiques, nul doute que vous allez maintenant foncer renforcer votre sécurité informatique ! La plupart de ces logiciels ou de ces mesures ne coûtent rien, ou pas grand chose, ce qui correspond bien au budget des PME ! Pourquoi je vous indique ces éléments ? Parce que je suis persuadé que la sécurité globale sur Internet repose sur l’amélioration de la sécurité des maillons les plus faibles : en fait les particuliers et les petites entreprises. En renforçant votre sécurité, vous allez donc contribuer à un meilleur Internet pour tous, et ainsi j’y aurai contribué ;-)

Nota bene : Les liens et les produits cités ici sont valides en mai 2005, moment de la rédaction de ce document. Je n’ai aucun intérêt direct ou indirect avec les sociétés référencées. Il s’agit juste de liens qui vont vous permettre de télécharger gratuitement ou quasi gratuitement des logiciels permettant de renforcer votre sécurité ; Bien entendu, dans certains cas, il faudra payer (un peu) pour avoir la version « pro » ou les mises à jour.



9 BIBLIOGRAPHIE ET REFERENCES

9.1 GENERAL (Réf. 1) La Sécurité à l’Usage des Décideurs (Collection TENOR) ISBN 2-84928-042-9

(Réf. 2) Guide de sensibilisation à la sécurisation du système d’information et du patrimoine informationnel de l’entreprise – Medef Direction Innovation, Recherche et Nouvelles Technologies

(Réf. 3) Le business de la cybercriminalité - Franck Franchin - Rodolphe Monnet - Edition Hermes Science

(Réf. 4) http://www.netcost-security.comhttp://secuser.com

(Réf. 6) http://www.mag-securs.com/

(Réf. 7) http://www.medef.fr

9.2 JURIDIQUE

(Réf. 8) http://legifrance.gouv.fr

(Réf. 9) http://www.cnil.fr/

(Réf. 10) http://www.greffe-tc-paris.fr

(Réf. 11) Livre “Tous Cyber Criminels“ de Olivier Itéanu (Laffont éditeur) ISBN 2-84928-042-9

9.3 LES POINTEURS DE MAURO ISRAEL (voir chapitre : les 10 mesures concrètes)

(Réf. 12) Les anti spyware

w AD-AWARE

http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5

w ANTI-SPYWARE Microsoft

http://www.microsoft.com/downloads/details.aspx?FamilyId=321CD7A2-6A57-4C57-A8BD-DBF62EDA9671&displaylang=en

w SPYBOT Search & Destroy

http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/26157.html

(Réf. 13) Les firewalls personnels

w Service Pack 2 pour Windows XP

http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a

w SYGATE

http://www.download.com/Sygate-Personal-Firewall-Pro/3000-2144-10067997.html?part=dl-sygate&subj=dl&tag=button

w ZONE ALARM

http://fr.zonelabs.com/download/znalmZAAV.html

(Réf. 14) Les firewalls sur la connexion ADSL

w CHECKPOINT



http://www.checkpoint.com/products/safe@office/index_wired.html

w FREE

http://fbxcfg.free.fr/routeur.html

(Réf. 15) Accés Wi-Fi

w CHECKPOINT

http://www.checkpoint.com/products/safe@office/index_wireless.html

(Réf. 16) Hébergement et nom de domaine

w NETWORK SOLUTIONS

http://www.netsol.com

w DYNDNS

http://www.dyndns.org

(Réf. 17) Sauvegardes et contrôle à distance

w ULTRAVNC

http://prdownloads.sourceforge.net/ultravnc/UltraVNC-100-RC18-Setup.zip?download

(Réf. 18) Mise à jour de sécurité : les patches

w WINDOWS UPDATE

http://windowsupdate.microsoft.com



10 GLOSSAIRE

10.1 ACRONYMES ADSL Asymmetric Digital Subscriber Line

DECT Digital Enhanced Cordless Telephone DSAA DECT Standard Authentication Algorithm ISM Industry Scientific and Medical

MEDEF Mouvement des Entreprises De France PBX Private Branch Exchange PME Petite et Moyenne entreprise

ROI Return on Investment (Retour sur Investissement) TPE Très Petite Entreprise VoIP Voice on IP (Voix sur IP)

WLAN Wireless LAN

10.2 DÉFINITIONS Certificat Fichier contenant divers renseignements qui permettent d’authentifier un

utilisateur, avec en particulier son nom, sa société, l’autorité de confiance qui a signé ce certificat, les dates de validité du certificat, la clé publique qui va permettre de chiffrer / déchiffrer lors d’un chiffrement asymétrique et une partie chiffrée qui permet d’en contrôler l’origine.

CNIL La Commission Nationale de l’Informatique et des Libertés est une autorité administrative indépendante à qui toute action de constitution de liste nominative doit être communiquée. Voir www.cnil.fr

Intranet Réseau interne de l’entreprise dont les applications utilisent les protocoles réseaux de l’Internet (protocoles IP).

WiFi Label délivré par le WECA qui garantit l'interopérabilité des équipements radio répondant au standard 802.11. Par extension de langage, désigne le standard lui-même.



11 CONTRIBUTIONS A L’ECRITURE DE CE LIVRE

Classés par ordre alphabétique des noms des auteurs Prénom, Nom mél Fonction, Société, Web Contributions Marie-Agnès Couwez [email protected]

Pourquoi et pour qui ce livre ?

Alain Germain [email protected]

Consultant Idsoft agsoft.free.fr

Se sécuriser par des logiciels libres ?

Michèle Germain [email protected]

Consultante ComXper comxper.free.fr

L’entreprise sans fils

Mauro Israel [email protected]

Chief Security Officer Le Netwizz www.netwizz.com

Dix mesures concrètes pour sécuriser votre PME connectée

Gérard Peliks [email protected]

Coordinateur de ce livre EADS www.eads.com

La stéganographie La signature électronique



Copyright © etna France 2005 – Collection Tenor Les idées émises dans ce livre n’engagent que la responsabilité de leurs auteurs, et pas celle de l’etna France. La reproduction et/ou la représentation de ce document sur tous supports est autorisée à la condition d'en citer la source comme suit © etna France 2005 – La sécurité à l’usage des PME et des TPE. L'utilisation à but lucratif ou commercial, la traduction et l'adaptation de ce document sous quelque support que ce soit sont interdites sans la permission écrite de l’etna France.

La sécurité · à l’usage des PME et des TPE 6 juin 2005 Centre français de réflexion sur la...

Documents

Transcript of La sécurité · à l’usage des PME et des TPE 6 juin 2005 Centre français de réflexion sur la...