Sécurité informatique

• Groupe de travail sur la sécurité informatique– Membres– Évaluation des risques (rencontres ≈ 85 pers. – divers secteurs)– Recommandations pour améliorer la sécurité informatique– Projets pilotes – grille d’autoévaluation– Vérification et accompagnement des unités

• Vers quoi on pourrait tendre – quelques idées

– Augmentation de la sécurité sur notre réseau (local et sans fil)– Authentification réseau obligatoire des usagers– Sécuriser la transmission de certaines informations– Possibilité de pare-feu (« firewall ») – endroits stratégiques– Amélioration au niveau des antivirus– Instaurer une culture de sécurité informatique (coordination + support),

imputabilité et évaluation du risque sur une base continue

Sécurité informatique

• Politique de sécurité informatique et code de conduite (mise à jour) – Suggestions ?

• Statistiques de sécurité informatiques – Principaux méfaits/plaintes

– Intrusions/tentatives d’intrusions – (10 en 1998 @ 96 en 2001)– Virus informatiques – 57 serveurs (Nimda – Code red) (problèmes majeurs)– Spam - + de 100 plaintes (internes et externes)

– Futur: 80% des attaques vont transiter par les réseaux collégiaux et universitaires

Sécurité informatique

• Installation des mises à jours sur les systèmes d’exploitation et les logiciels (Microsoft, Linux, autres) - IIS ne pas activer avant d’avoir installé les correctifs

• Courrier électronique – Rappel– Redirection de courrier à éviter lors du départ – Privilégier l’usage d’un

message (« vacation ») – on informe le titulaire du compte concerné– On n’accède pas au courrier d’un tiers sans son autorisation (même si c’est

le patron qui le demande) – sauf urgence et pour des fins liées aux activités universitaires (recherche, enseignement, gestion)

• Sans fil – Nouveaux standards (802.11b vs 802.11a) – (802.11G)– Nouvelle infrastructure et essais au SIT – VPN et SSO– Urgence relative – rentabilité des investissements et compatibilité de

l’infrastructure à considérer

Sécurité informatique

• Problèmes de sécurité informatique

• Recueillir et conserver des preuves (en-têtes de courrier, log) – on active un minimum d’audit sur les serveurs

• Examen du contenu – comité d’intervention (politique de sécurité)• On rapporte les problèmes, mais on agit avec discrétion• Cas importants – journal des gestes posés• Facilite les enquêtes - permet de faire le lien avec d’autres situations

problématiques• Permet de faciliter la justification de solutions institutionnelles

• Virus informatiques– McAfee 6.X vs NAI 4.51– Datfile vs upgrade– Quelques statistiques:

• Présentement ≈ 50 000 Virus / pour 2004 on prévoit + de 100 000 virus• Courriers infectés: 2001 - 1/300 2004 – 1/100 2008 – 1/10

Sécurité informatique

• Virus informatiques (suite)

– Problématique des ordinateurs portables – si possible programmer une mise à jour quotidienne plutôt qu’hebdomadaire (risque de complication avec le sans fil car branchement peut se faire de partout – portable , PDA et cellulaires (pour l’instant))

– Solutions en test et à l’étude actuellement:

• EPO (Entreprise Policy Orchestrator) – vérifie la version et met à jour s’il y a lieu (« thin client » sur les postes)

• E500 de NAI – filtrage de tous les courriers qui entrent sur notre réseau